以下、図面を参照して、本技術を適用した実施の形態について説明する。
〈第1の実施の形態〉
〈情報処理システムの構成例〉
図1は、本技術を適用した情報処理システムの一実施の形態の構成例を示す図である。
この情報処理システムは、データセンタ11、加盟店端末装置12、ユーザの所持するIC(Integrated Circuit)カード13および携帯型端末装置14、並びにユーザとは異なる他のユーザの携帯型端末装置15を有している。また、データセンタ11と加盟店端末装置12とは、インターネットなど、有線や無線のネットワークからなる通信網16を介して、相互に接続されている。
この情報処理システムは、各種のサービスをユーザに対して提供する場合に適用することが可能であるが、以下では説明を具体的にするため、ユーザが電子化されたお薬手帳などの薬歴データをデータセンタ11にアップロードし、その薬歴データを適宜閲覧する場合を例として説明を続ける。なお、薬歴データのアップロードは、必要に応じてICカード13を利用した認証や対面認証等がなされた後、ユーザが利用するサービス加盟店やユーザ本人により行われる。
また、携帯型端末装置15を所有するユーザは、ICカード13を所有するユーザの薬歴データの閲覧が許可された、ICカード13を所有するユーザの配偶者などの家族等とされる。以下では、携帯型端末装置15を所有するユーザを、ICカード13を所有するユーザの配偶者であるものとして単に配偶者とも称し、単にユーザというときはICカード13のユーザを示していることとする。
データセンタ11は、加盟店端末装置12や携帯型端末装置14から供給された薬歴データをユーザごとに管理するとともに、加盟店端末装置12や携帯型端末装置14、携帯型端末装置15からの要求に応じて、記録している薬歴データを提供する。
なお、ここでは、データセンタ11により管理される閲覧データの一例として、薬歴データについて説明を行うが、閲覧データはユーザごとに管理され、ユーザ等によりアクセスされるデータであれば、どのようなデータであってもよい。
加盟店端末装置12は、所定のサービスを提供するサービス加盟店に設けられている。この例では、加盟店端末装置12は、例えばユーザが処方された薬剤を購入する薬局内や、ユーザが通院する病院内に設けられている。以下では、サービス加盟店は薬局であるものとする。
加盟店端末装置12は、コンピュータなどからなり、薬剤師等の入力操作に応じて各種の処理を行う。具体的には、例えば加盟店端末装置12は、薬剤師等の入力操作に応じてユーザの薬歴データを生成し、その薬歴データを記録したり、通信網16を介して薬歴データをデータセンタ11に送信して記録させたりする。
また、加盟店端末装置12は、ユーザのICカード13から、ユーザに固有のIDである個人識別IDや個人情報を読み出して本人認証等に利用したり、データセンタ11で管理されている薬歴データへアクセスするのに必要となる情報等を、近距離通信により携帯型端末装置14や携帯型端末装置15に送信したりする。なお、本実施例においては、個人識別IDを読み出すものとして加盟店に設置されている加盟店端末装置12を使用したが、加盟店端末装置12は、個人識別IDや個人情報を読み出すことができ、通信網を介してデータセンタ11や携帯型端末装置14、携帯型端末装置15との情報の送信や受信が行える装置であればよい。例えば、加盟店端末装置12の代わりに、携帯型端末装置を使用し、本人認証や薬歴データの閲覧や更新等を行ってもよい。
ここで、個人識別IDは、一意にユーザを特定することのできる個人識別情報の一つであるが、他人が個人識別IDを入手しただけでは、一般的にはその個人識別IDにより識別されるユーザ個人を特定することができない(困難である)情報とされる。
なお、個人識別IDを取得する契機となる媒体は、個人識別IDが直接記録されたICカード等に限らず、書き換えや置き換えが不可能な固有の媒体であればよい。例えば生体情報から固有の情報を個人識別IDとして取得する場合、個人識別IDを取得するための媒体は、人体の一部または全部などとされる。他にも、ICカードと同等のICチップを内蔵した携帯型電話機等を用いてもよい。そのような場合には、ICチップを内蔵した携帯型電話機等から、個人識別IDが読み出される。
ICカード13は、加盟店端末装置12が設置されているサービス加盟店等で提供されるサービスを受けるユーザが、そのサービスを受けるときに適宜使用するICカードである。このICカード13は、ユーザごとに発行される。ICカード13には、サービス利用者であるユーザを認証するための個人識別IDと、ユーザの氏名、生年月日、性別などからなる個人情報とが記録されている。なお、ICカード13に記録される個人情報には、その他、ユーザの住所や電話番号、保険証番号などが含まれるようにしてもよい。
ICカード13は、加盟店端末装置12と通信し、記録している個人識別IDや個人情報を加盟店端末装置12に送信する。
携帯型端末装置14は、ユーザが所持する携帯型電話機などからなり、図示せぬ通信網や通信網16を介して加盟店端末装置12やデータセンタ11と通信し、必要に応じて情報の授受を行なう。例えば、携帯型端末装置14はデータセンタ11から薬歴データを受信して表示したり、薬歴データをデータセンタ11に送信して更新させたりする。
携帯型端末装置15は、ユーザの配偶者が所持する携帯型電話機などからなり、図示せぬ通信網や通信網16を介してデータセンタ11と通信し、ユーザの薬歴データを受信して表示する。
なお、図1の例では、情報処理システムには、1つの加盟店端末装置12しか図示されていないが、実際には情報処理システムには、複数の加盟店端末装置12が含まれている。
〈データセンタの構成例〉
次に、図1に示したデータセンタ11、加盟店端末装置12、携帯型端末装置14、および携帯型端末装置15の構成について説明する。
図2は、データセンタ11の構成例を示す図である。なお、図2では、データセンタ11は1つの装置として構成されているが、データセンタ11は複数の装置から構成されるようにしてもよい。
図2に示すデータセンタ11は記録部41、通信部42、および制御部43を有している。
記録部41は、例えばデータベースであり、各ユーザの薬歴データや、個人識別ID、個人設定端末コード、個人毎端末ID、登録日時情報、機関情報などの各種のデータを記録しており、必要に応じて記録しているデータを制御部43に供給する。
ここで、個人毎端末IDは、データセンタ11において、個人識別IDに対して登録された携帯型端末装置14または携帯型端末装置15を一意に特定することのできる端末識別情報である。すなわち、個人毎端末IDは、所定の携帯型端末装置14または携帯型端末装置15が、個人識別IDに対して登録されている1または複数の携帯型端末装置のうちの何れであるかを一意に識別するための情報である。
したがって個人識別IDおよび個人毎端末IDを用いれば、データセンタ11において、どのICカード13について登録されている、どの携帯型端末装置であるかを一意に識別することができる。
また、個人設定端末コードは、ユーザや配偶者により定められた、携帯型端末装置14または携帯型端末装置15を特定するための情報であり、ユーザや配偶者は、例えば個人設定端末コードとして、自分が覚えやすい情報を指定する。したがって、ユーザや配偶者は個人設定端末コードを見れば、その個人設定端末コードがどの携帯型端末装置を示しているかを容易に理解することができる。
個人設定端末コードは、薬歴データへのアクセス権限を無効化するとき、すなわちサービスの利用を停止させるときに利用される。
また、登録日時情報は、携帯型端末装置14または携帯型端末装置15が、ユーザの薬歴データにアクセス可能な端末装置として登録するための処理が行われた日時、例えば年月日と時分を示す情報である。
さらに機関情報は、登録日時情報により示される日時に登録のための処理が行われた医療機関、すなわち加盟店端末装置12が設けられたサービス加盟店としての薬局等を示す情報である。なお、以下では、機関情報は加盟店端末装置12が設けられたサービス加盟店である薬局を示す薬局IDであるとして説明を続ける。
また、記録部41は、予め登録されているサービス加盟店としての薬局の薬局名を示す情報と、サービス加盟店を一意に特定するためのIDとを対応付けて記録する。ここでは、例えば薬局名と薬局IDとが対応付けられて記録されているものとする。なお、薬局名のみに限らず、薬局の位置を示す住所などの情報も薬局名とともに薬局IDに対応付けられて記録されてもよい。
通信部42は、通信網16などを介して加盟店端末装置12や携帯型端末装置14、携帯型端末装置15と通信し、受信した情報を制御部43に供給したり、制御部43から供給された情報を送信したりする。
制御部43は、データセンタ11全体の動作を制御する。制御部43は、管理部51および生成部52を備えている。
管理部51は、薬歴データの閲覧を可能にするための携帯型端末装置14や携帯型端末装置15の登録に関する処理等を行ったり、記録部41に記録されているデータを管理したりする。生成部52は、記録部41に記録される個人毎端末IDを生成したり、登録日時情報を生成したりする。
ここで、記録部41に記録されている個人識別ID、個人設定端末コード、個人毎端末ID、登録日時情報、機関情報、および薬歴データの例について説明する。例えば、図3に示すように個人設定端末コード、個人毎端末ID、登録日時情報、機関情報、および薬歴データは個人識別IDに対応付けられてデータベースとして記録されている。
図3において個人識別IDは、ICカード13に記録されているユーザを一意に識別する情報であり、記録部41では、個人識別IDには個人設定端末コード、個人毎端末ID、登録日時情報、機関情報、および薬歴データが対応付けられている。
例えば個人識別ID「ab01」には個人設定端末コード「1234」、個人毎端末ID「1」、登録日時情報「登録日時情報A」、機関情報「機関情報A」、および薬歴データ「薬歴データA」が対応付けられている。ここで、個人識別IDに対応付けられる薬歴データは必ず1つであるが、個人設定端末コード、個人毎端末ID、登録日時情報、および機関情報は登録された携帯型端末装置14および携帯型端末装置15の数だけ、個人識別IDに対応付けられている。
例えば個人識別ID「ab02」には、個人毎端末ID「1」により特定される携帯型端末装置の個人設定端末コード「1111」と、個人毎端末ID「2」により特定される携帯型端末装置の個人設定端末コード「2222」とが対応付けられている。
したがって、この場合には、2つの携帯型端末装置から同じ薬歴データBにアクセスすることが可能である。このようにユーザの薬歴データに対していくつかの携帯型端末装置14や携帯型端末装置15からアクセスすることができるようにすれば、利便性を向上させることができる。
また図3の例では、同じ個人識別IDについて登録されている各携帯型端末装置に対して、登録順に連続する番号が個人毎端末IDとして付与されている。この例では「1」から順番に連続する通し番号が個人毎端末IDとして付与されている。さらに、データセンタ11では、互いに対応付けられている個人毎端末IDと個人設定端末コードの組み合わせが、ユーザが個人毎端末IDにより特定される携帯型端末装置14または携帯型端末装置15でのサービスの利用を停止させるときに用いられる利用停止コードとされる。例えば、利用停止コードは、個人設定端末コードの最後尾に個人毎端末IDを付加して得られる情報とされる。
〈加盟店端末装置の構成例〉
次に、加盟店端末装置12の構成について説明する。
図4は、加盟店端末装置12の構成例を示す図である。なお、図4では、加盟店端末装置12は1つの装置として構成されているが、加盟店端末装置12は複数の装置から構成されるようにしてもよい。
加盟店端末装置12はリーダライタ81、通信部82、入力部83、表示部84、制御部85、および記録部86を有している。
リーダライタ81は、ICカード13と非接触通信し、ICカード13から個人識別IDおよび個人情報を読み出して制御部85に供給したり、制御部85から供給された情報をICカード13に供給して記録させたりする。通信部82は、通信網16を介してデータセンタ11等の各装置と通信し、送信されてきた情報を受信して制御部85に供給したり、制御部85から供給された情報を送信したりする。
入力部83は、マウスなどからなり、薬剤師等の操作に応じた信号を制御部85に供給する。表示部84は、液晶表示パネルなどからなり、制御部85から供給されたデータに基づいて画像等を表示する。
制御部85は、加盟店端末装置12全体の動作を制御する。制御部85は、コード生成部91、要求処理部92、記録制御部93、データ生成部94、および表示制御部95を備えている。
コード生成部91は、ICカード13から読み出された個人情報等に基づいてQRコードを生成する。また、要求処理部92は、携帯型端末装置14や携帯型端末装置15の仮登録の要求など、データセンタ11に対して各種の要求を行う処理を実行する。
記録制御部93は、リーダライタ81を制御して各種の情報をICカード13に記録させる。データ生成部94は、薬剤師等の操作に応じて入力部83から供給される信号に基づいて薬歴データ等を生成する。表示制御部95は、表示部84への各種の情報やデータの表示を制御する。
記録部86は、ユーザの薬歴データや、薬局IDなどの各種のデータを記録し、必要に応じてそれらのデータを制御部85に供給する。
〈携帯型端末装置の構成例〉
さらに、図5は携帯型端末装置14の構成例を示す図である。
携帯型端末装置14は通信部111、近距離通信部112、入力部113、制御部114、記録部115、および表示部116を有している。
通信部111は、加盟店端末装置12やデータセンタ11などの外部の装置と通信し、各種のデータを受信して制御部114に供給したり、制御部114から供給されたデータを送信したりする。
近距離通信部112は、加盟店端末装置12と近距離通信し、加盟店端末装置12から受信した情報を制御部114に供給する。例えば、近距離通信部112はカメラなどからなり、近距離通信として加盟店端末装置12に表示されたQRコードの撮影を行い、得られた画像情報を制御部114に供給する。
入力部113は、例えば入力ボタンやタッチパネル、マイクロホンなどからなり、ユーザによる入力操作に応じた信号を制御部114に供給する。
制御部114は、携帯型端末装置14全体の動作を制御する。制御部114は、復号部121、情報管理部122、閲覧制御部123、および表示制御部124を備えている。
復号部121は、近距離通信部112から供給された画像情報を復号し、QRコードに記述されている情報を抽出する。情報管理部122は、記録部115に記録されている各種のデータを管理する。すなわち、情報管理部122は、データを記録部115に供給して記録させたり、記録部115に記録されているデータを読み出したりする。
閲覧制御部123は、データセンタ11に記録されている薬歴データの閲覧に関する処理を行う。表示制御部124は、表示部116による画像や情報の表示を制御する。
記録部115は、制御部114から供給された各種のデータを記録しており、必要に応じてそれらのデータを制御部114に供給する。表示部116は、液晶表示パネルなどからなり、制御部114から供給されたデータに基づいて各種の画像や情報を表示する。
〈携帯型端末装置の構成例〉
さらに、図6は携帯型端末装置15の構成例を示す図である。
携帯型端末装置15は通信部151、近距離通信部152、入力部153、制御部154、記録部155、および表示部156を有している。
なお、これらの通信部151乃至表示部156は、図5に示した携帯型端末装置14の通信部111乃至表示部116と同様であるので、その説明は省略する。また、制御部154は、復号部161、情報管理部162、閲覧制御部163、および表示制御部164を備えている。これらの復号部161乃至表示制御部164は、制御部114の復号部121乃至表示制御部124と同様であるので、その説明は省略する。
〈仮登録について〉
次に、図1に示した情報処理システムの動作について説明する。
例えば情報処理システムでは、ユーザやその配偶者は携帯型端末装置14や携帯型端末装置15からデータセンタ11に記録されている薬歴データを閲覧することができる。薬歴データを閲覧するためには、ユーザや配偶者は閲覧時に用いる携帯型端末装置14や携帯型端末装置15に関する情報を、予めデータセンタ11に登録しておく必要がある。
この実施の形態では、まずユーザまたは配偶者は仮登録を行って個人識別IDおよび個人毎端末IDを携帯型端末装置14または携帯型端末装置15に記録させ、続いて個人設定端末コードをデータセンタ11に送信して本登録を完了させる。これによって、ユーザや配偶者は携帯型端末装置14または携帯型端末装置15で薬歴データを閲覧することができるようになる。
以下では、例としてユーザ自身は携帯型端末装置14で薬歴データの参照等をせず、ユーザの配偶者である妻がユーザの許可を得て携帯型端末装置15で薬歴データを参照等する場合を例として説明する。そのような場合、以下において説明する仮登録と本登録が行われる。
まず、図7のフローチャートを参照して、仮登録時に行われる、携帯型端末装置15による読み取り処理、加盟店端末装置12による仮登録要求処理、およびデータセンタ11による仮登録処理について説明する。
配偶者が所持する携帯型端末装置15について仮登録を行う場合、例えばユーザおよび配偶者は加盟店端末装置12が設置されているサービス加盟店に行き、サービス加盟店の店員である薬剤師等に新規の登録をしたい旨を伝える。なお、このとき配偶者がユーザからICカード13を預かって1人で薬局に行ってもよい。
登録したい旨が薬剤師等に伝えられると、薬剤師等はユーザが所持しているICカード13の提示を求める。
そして、ユーザがICカード13を加盟店端末装置12のリーダライタ81にかざすと、ステップS11において、加盟店端末装置12のリーダライタ81は、ICカード13と非接触通信を行い、ICカード13から個人識別IDおよび個人情報を取得して制御部85に供給する。また、表示制御部95は、リーダライタ81から供給された個人識別IDと個人情報を必要に応じて表示部84に供給し、表示させる。薬剤師等は表示された個人情報等を利用して、適宜ユーザの本人確認を行う。
ステップS12において、通信部82は、通信網16を介して、データセンタ11に個人識別ID、薬局ID、および仮登録要求を送信する。
すなわち、要求処理部92は、加盟店端末装置12が設けられた薬局を特定するための薬局IDを記録部86から読み出すとともに、個人識別IDにより識別されるユーザについて、新たな携帯型端末装置15の仮登録を要求する仮登録要求を生成する。この仮登録要求は、携帯型端末装置15が個人識別IDに対応付けられて記録されている薬歴データにアクセスするための登録を要求するものである。
要求処理部92は、リーダライタ81から供給された個人識別ID、記録部86から読み出した薬局ID、および仮登録要求を通信部82に供給し、送信を指示する。すると、通信部82は、要求処理部92から供給された個人識別ID、薬局ID、および仮登録要求をデータセンタ11に送信する。
ステップS21において、データセンタ11の通信部42は、加盟店端末装置12から送信されてきた個人識別ID、薬局ID、および仮登録要求を受信して制御部43に供給する。
ステップS22において、生成部52は、受信された個人識別IDに対する個人毎端末ID、機関情報、および登録日時情報を生成する。
すなわち、管理部51は、受信された仮登録要求に応じて生成部52に個人毎端末ID、機関情報、および登録日時情報の生成を指示する。生成部52は、その指示に従って個人毎端末IDを生成する。なお、個人毎端末IDは、記録部41において、登録を行おうとしている個人識別IDに対応付けられて記録されている他の個人毎端末IDと異なるものであり、個人識別IDごとに一意なものであれば、どのような識別情報であってもよい。
また、生成部52は、管理部51の指示に従って現在日時を示す情報を登録日時情報として生成するとともに、通信部42により受信された薬局IDを機関情報とする。
このような登録日時情報や機関情報は、携帯型端末装置15の登録に関する情報であるといえる。例えば登録日時情報は、携帯型端末装置15の仮登録が行われた日時を示しており、機関情報としての薬局IDは、携帯型端末装置15の仮登録、より詳細には仮登録の受け付けが行われた薬局、つまり薬局という場所を示している。
ステップS23において、管理部51は、記録部41に個人毎端末ID、機関情報、および登録日時情報を供給し、記録させる。すなわち、管理部51は、記録部41に記録されている個人識別IDのうち、ステップS21で受信された個人識別IDと同じ個人識別IDに対応付けて個人毎端末ID、機関情報、および登録日時情報を記録させる。
例えば図3に示した例において、個人識別ID「ab02」が受信され、個人毎端末ID「1」が生成された場合、個人識別ID「ab02」に対して個人毎端末ID「1」、登録日時情報「登録日時情報B」、および機関情報「機関情報B」が新たに対応付けられて記録される。したがって、個人識別IDおよび個人毎端末IDがあれば、ICカード13と携帯型端末装置15の組み合わせを一意に特定することができる。なお、記録部41に対応する個人識別IDが記録されていない場合には、新たに個人識別IDが記録されるとともに、その個人識別IDに対応付けられて個人毎端末ID、機関情報、および登録日時情報が記録される。
このようにして、個人識別IDに対して個人毎端末ID、機関情報、および登録日時情報が対応付けられて記録されると、携帯型端末装置15の仮登録が完了する。仮登録が行われると、管理部51は、生成した個人毎端末IDを通信部42に供給し、送信を指示する。
ステップS24において、通信部42は、管理部51から供給された個人毎端末IDを、通信網16を介して加盟店端末装置12に送信し、仮登録処理は終了する。なお、より詳細には、通信部42は、個人毎端末IDを含む、その個人毎端末IDに対応する携帯型端末装置が薬歴データを閲覧可能な閲覧端末装置として仮登録された旨の応答情報を加盟店端末装置12に送信する。
また、ステップS13において、加盟店端末装置12の通信部82は、データセンタ11から送信されてきた個人毎端末IDを受信して制御部85に供給する。
ステップS14において、コード生成部91は、ステップS13で受信された個人毎端末IDと、ステップS11で読み出された個人識別IDおよび個人情報とに基づいてQRコードを生成し、表示部84に供給する。コード生成部91により生成されるQRコードには、情報として個人識別ID、個人毎端末ID、および個人情報が含まれている。
ステップS15において、表示部84はコード生成部91から供給されたQRコードを表示して、仮登録要求処理は終了する。すなわち、コード生成部91は、QRコードを表示部84に表示させることで、QRコードにより携帯型端末装置15との近距離通信を行い、QRコードに含まれている情報を携帯型端末装置15に送信する。このようなQRコードを表示部84に表示する処理は、QRコードにより示される個人識別ID、個人毎端末ID、および個人情報を表示部84に表示する処理であるともいうことができる。
なお、ここでは個人識別ID、個人毎端末ID、および個人情報に基づいてQRコードを生成する例について説明したが、個人識別IDおよび個人毎端末IDのみに基づいてQRコードを生成するようにしてもよい。
このようにして表示部84にQRコードが表示されると、ユーザの配偶者は所持している携帯型端末装置15に加盟店端末装置12との近距離通信を行わせ、QRコードを読み取らせる。
すなわち、ステップS31において、携帯型端末装置15の近距離通信部152は、カメラ機能を利用して表示部84に表示されているQRコードを撮影することでQRコードを読み取って、制御部154に供給する。すなわち、撮影により得られたQRコードの画像情報が制御部154に供給される。
なお、ここでは、加盟店端末装置12と携帯型端末装置15との間で、個人識別ID、個人毎端末ID、および個人情報を授受するための近距離通信として、QRコードを用いた通信を例として説明したが、インターネット等の通信網16を経由しない通信方法を用いたり、その他、電子メール等により情報を授受するなど、どのような方法により個人識別IDや、個人毎端末ID、個人情報を授受するようにしてもよい。例えば、加盟店端末装置12と携帯型端末装置15とが、近距離通信として赤外線通信やNFC(Near Field Communication)などを行って個人識別ID、個人毎端末ID、および個人情報を授受するようにしてもよい。
ステップS32において、復号部161は、近距離通信部152から供給されたQRコードの画像情報を復号することで、QRコードに記述されている個人識別ID、個人毎端末ID、および個人情報を抽出する。
ステップS33において、情報管理部162は個人識別ID、個人毎端末ID、および個人情報を記録部155に供給して記録させ、読み取り処理は終了する。このようにして携帯型端末装置15に個人識別IDおよび個人毎端末IDが記録されると、携帯型端末装置15は、これらの個人識別IDおよび個人毎端末IDを用いてデータセンタ11にアクセスすることができるようになる。なお、携帯型端末装置15では、少なくとも個人識別IDおよび個人毎端末IDが記録されていれば、データセンタ11へのアクセスが可能であるので、必ずしも個人情報を記録しておく必要はない。
以上のようにして、データセンタ11は加盟店端末装置12から個人識別IDを受信し、その個人識別IDに対して一意に携帯型端末装置15を識別可能な個人毎端末IDを生成して記録する。
データセンタ11において生成される個人毎端末IDは、一意性が担保された情報となっている。このようにデータセンタ11において個人毎端末IDを生成することにより、データセンタ11では、携帯型端末装置15を識別する情報として、携帯型端末装置15のSimカードIDや電話番号といった準個人情報を保持することなくサービスの提供が可能となる。これにより、セキュリティを向上させることができる。
しかも、データセンタ11では、1つの個人識別IDに対して、携帯型端末装置14や携帯型端末装置15ごとに個人毎端末IDが対応付けられて記録される。そのため、データセンタ11側において、個人識別IDにより識別されるユーザ等が使用する各携帯型端末装置を個々に識別することができる。すなわち、ユーザごとに各携帯型端末装置を区別してサービスの提供を行うことができる。これにより、ユーザの利便性を向上させることができる。
また、ユーザ等は、複数の携帯型端末装置からデータセンタ11にアクセスすることができ、利便性を向上させることができる。例えば、ユーザの配偶者の携帯型端末装置15を登録しておくことで、配偶者が携帯型端末装置15から薬歴データにアクセスすることができるようになる。
〈本登録について〉
以上のようにして仮登録が行われると、続いて配偶者はデータセンタ11にアクセスして本登録を行う。以下、図8のフローチャートを参照して、本登録を行う場合に行われる、携帯型端末装置15による登録要求処理、およびデータセンタ11による登録処理を説明する。
ステップS61において、携帯型端末装置15の閲覧制御部163は、ユーザによる個人設定端末コードの入力を受け付ける。
例えば閲覧制御部163は、記録部115に記録されている、薬歴データを閲覧するためのアプリケーションプログラムの初回起動時、またはデータセンタ11のウェブページ等への初めてのアクセス時に、表示部156に個人設定端末コードの入力画面を表示させる。
この入力画面には、個人設定端末コードの入力を促す文字メッセージが表示されており、配偶者は入力部153を操作して、配偶者自身が覚えやすい番号、文字、記号等やそれらの組み合わせである文字列を個人設定端末コードとして入力する。すると、入力部153から制御部154には、配偶者の操作に応じた情報、すなわち入力された個人設定端末コードが供給される。
また、情報管理部162は、閲覧制御部163の指示に従って、記録部155から個人識別IDおよび個人毎端末IDを読み出す。閲覧制御部163は、読み出された個人識別IDおよび個人毎端末IDと、入力部153から供給された個人設定端末コードとを通信部151に供給する。
ステップS62において、通信部151は、通信網16等の通信網を介して、閲覧制御部163から供給された個人識別ID、個人毎端末ID、および個人設定端末コードをデータセンタ11に送信する。より詳細には、通信部151は、個人識別ID、個人毎端末ID、および個人設定端末コードを含む、個人設定端末コードの登録の要求をデータセンタ11に送信する。
するとステップS71において、データセンタ11の通信部42は、携帯型端末装置15から送信されてきた個人識別ID、個人毎端末ID、および個人設定端末コードを受信して制御部43に供給する。
ステップS72において、管理部51は、通信部42から供給された個人識別ID、個人毎端末ID、および個人設定端末コードに基づいて、記録部41に個人設定端末コードを記録させる。すなわち、記録部41では、記録している個人識別IDおよび個人毎端末IDのうち、受信された個人識別IDおよび個人毎端末IDと同じ個人識別IDおよび個人毎端末IDに対応付けられて、個人設定端末コードが記録される。
これにより、記録部41には、個人識別IDに対して携帯型端末装置15や携帯型端末装置14ごとに個人毎端末IDおよび個人設定端末コードが対応付けられて記録されることになる。また、個人識別IDには、その個人識別IDにより特定されるユーザの薬歴データも対応付けられて記録されている。このようにして個人設定端末コードが記録されると、携帯型端末装置15の本登録が完了する。
本登録が完了すると、管理部51は、本登録が完了した旨の情報を通信部42に供給し、その情報の送信を指示する。この本登録が完了した旨の情報には利用停止コード、すなわち個人設定端末コードと個人毎端末IDが含まれている。
ステップS73において、通信部42は、管理部51から供給された本登録が完了した旨の情報を携帯型端末装置15に送信し、登録処理は終了する。
また、ステップS63において、携帯型端末装置15の通信部151は、データセンタ11から送信されてきた、本登録が完了した旨の情報を受信して制御部154に供給する。
ステップS64において、表示制御部164は、通信部151から供給された本登録が完了した旨の情報に含まれている、利用停止コード等の情報を表示部156に供給して表示させ、登録要求処理は終了する。
この場合、表示部156には、例えば本登録が完了した旨のメッセージとともに、利用停止コードが表示される。
この例では、登録した携帯型端末装置15は、ICカード13の所有者であるユーザとは異なる、ユーザの配偶者のものであるので、配偶者は必要に応じてICカード13の所有者であるユーザに対して利用停止コードを通知する。
以上のようにして、携帯型端末装置15は配偶者により入力された個人設定端末コードと、個人識別IDおよび個人毎端末IDとをデータセンタ11に送信し、データセンタ11は、個人識別IDおよび個人毎端末IDに対応付けて個人設定端末コードを記録する。
このように、携帯型端末装置15ごとに、個人設定端末コードをデータセンタ11に記録しておくことで、携帯型端末装置15ごとに適宜、個人設定端末コードを利用して、薬歴データへのアクセス権限を、安全かつ簡単に管理することができるようになる。これにより、セキュリティおよび利便性を向上させることができる。
また、この情報処理システムでは、複数のICカード13に対して同じ携帯型端末装置14や携帯型端末装置15を登録し、1つの携帯型端末装置14や携帯型端末装置15で、複数人の薬歴データを閲覧することも勿論可能である。
なお、以上においては配偶者の携帯型端末装置15を登録する場合について説明したが、携帯型端末装置14を登録する場合にも図7および図8を参照して説明した処理と同様の処理が行われる。
本登録が完了すると、配偶者は携帯型端末装置15でユーザの薬歴データを閲覧することができるようになる。薬歴データの閲覧が指示されると、携帯型端末装置15の通信部151は個人識別ID、個人毎端末ID、および閲覧要求をデータセンタ11に送信する。
すると、データセンタ11では、通信部42により個人識別ID、個人毎端末ID、および閲覧要求が受信され、閲覧要求に応じて管理部51により、個人識別IDおよび個人毎端末IDに対応付けられている薬歴データが読み出される。そして、読み出された薬歴データが通信部42により携帯型端末装置15に送信される。このようにデータセンタ11では、個人識別IDおよび個人毎端末IDにより薬歴データへのアクセスが管理される。つまり、個人識別IDおよび個人毎端末IDがアクセスキーとして利用される。
〈薬歴の更新と登録の通知について〉
ところで、情報処理システムではセキュリティを確保するため、データセンタ11と加盟店端末装置12との間で個人情報を授受することなくユーザや配偶者、つまり携帯型端末装置の登録に関する処理が行われる。
このとき、ユーザや配偶者の登録時には、加盟店端末装置12でICカード13から読み出された個人識別IDが用いられて上述した仮登録要求処理が行われる。そのため、個人識別IDが加盟店端末装置12に保持されている状態で、例えば薬局の悪意ある薬剤師等の第三者が、ユーザの個人識別IDを悪用して自身の携帯型端末装置についても登録を行ってしまうと、ユーザはそのことに気付きにくい。
そのような場合、悪意ある第三者は自身の携帯型端末装置を用いて、ユーザの許可なくユーザの薬歴データを閲覧できてしまうことになる。そこで、情報処理システムでは、データセンタ11に利用停止コードに対応付けて登録日時情報および機関情報を記録しておくとともに、新たな登録が行われると、その登録事項について加盟店端末装置12を介してユーザに通知が行われる。
例えばユーザへの新たな登録に関する通知は、新たな登録が行われた後、初めてユーザが薬局に来局してICカード13を利用したサービスを受けるとき、すなわち、薬歴の閲覧や薬歴の更新を行うときに行われてもよい。また、新たな登録が行われたとき、すなわち仮登録や本登録が完了した時や仮登録や本登録の要求をデータセンタ11が受信したときに行われてもよい。以下では、新たな登録が行われた後、初めてユーザがICカード13を利用したサービスを受けるときに通知が行われるものとして説明を続ける。
このような場合、例えばユーザは新たな処方箋を持って薬局に来局し、薬剤師等に処方箋を渡すとともに処方された薬剤を受け取る。なお、この場合、配偶者は同伴している必要はない。このとき薬剤師等は、ユーザの処方箋に基づいて薬歴データを作成し、データセンタ11に記録させる。つまり、薬歴データを更新させる。この例では、薬歴データをデータセンタ11に記録させるタイミングで、ユーザに対して新たな登録についての通知が行われる。
以下、図9および図10のフローチャートを参照して、薬歴データの更新およびユーザへの登録についての通知に関する処理である薬歴更新要求処理と薬歴更新処理について説明する。まず、図9のフローチャートを参照して、加盟店端末装置12による薬歴更新要求処理を説明する。
ユーザがICカード13を加盟店端末装置12のリーダライタ81にかざすと、ステップS101において、リーダライタ81は、ICカード13と非接触通信を行い、ICカード13から個人識別IDおよび個人情報を取得して制御部85に供給する。
また、表示制御部95は、リーダライタ81から供給された個人識別IDと個人情報を必要に応じて表示部84に供給し、表示させる。薬剤師等は表示された個人情報等を利用して、適宜ユーザの本人確認を行う。
その後、ステップS102において、データ生成部94は、薬剤師等の操作に応じて入力部83から供給される信号に基づいて、ユーザの処方箋の内容を含む薬歴データを生成する。そして、要求処理部92は、個人識別ID、薬歴データ、および薬歴データの更新要求を通信部82に供給する。
ステップS103において、通信部82は、要求処理部92から供給された個人識別ID、薬歴データ、および薬歴データの更新要求を、通信網16を介してデータセンタ11に送信する。
これにより、データセンタ11ではユーザの薬歴データが更新される。また、薬歴データの更新が行われると、データセンタ11からは、新たに登録された情報についての通知および利用停止コードが送信されてくる。すなわち、ユーザの個人識別IDに対して新たに登録された携帯型端末装置について、その携帯型端末装置が新たに登録された旨の登録通知情報と、その携帯型端末装置の利用停止コードとが送信されてくる。
ここで、登録通知情報には、新たな携帯型端末装置の登録が受け付けられた日時、つまり仮登録処理が行われた日時を示す登録日時情報と、その携帯型端末装置の機関情報により示される薬局名とが含まれている。具体的には、登録通知情報は、例えば何年何月何日にどこの薬局で、対応する利用停止コードにより特定される携帯型端末装置についての仮登録が行われた旨の文字情報などとされる。なお、登録通知情報に、利用停止コードが含まれていてもよい。
ステップS104において、通信部82は、データセンタ11から送信されてきた利用停止コードおよび登録通知情報を受信して制御部85に供給する。
ステップS105において、表示制御部95は通信部82から供給された利用停止コードおよび登録通知情報を表示部84に供給して表示させる。
このようにして利用停止コードおよび登録通知情報が表示部84に表示されると、薬剤師等は適宜、表示されている利用停止コードおよび登録通知情報をユーザに見せたり、利用停止コードおよび登録通知情報の内容をユーザに伝えたりして、確認を促す。そして、ユーザは新たに登録された人物、すなわち携帯型端末装置がユーザ自身の知っているものであるか否かを確認する。
このとき、ユーザは、利用停止コードだけでなく登録(仮登録)が行われた日時や場所(薬局)などの情報も手掛かりとして確認を行うことができるので、より簡単かつ確実に新たな登録が、自分自身が許可したものであるか否かを特定することができる。
通常、利用停止コードに含まれる個人設定端末コードは配偶者やユーザが覚えやすい情報とされるはずであるから、ユーザが予め配偶者から利用停止コードを伝え聞いていれば、利用停止コードから容易に登録の確認を行うことができる。また、利用停止コードとともに登録の日時や場所に関する情報も表示されるので、さらに簡単かつ確実に登録の確認を行うことができる。
このように、新たに登録が行われたときには、ユーザに対して新たな登録について通知を行うことで、悪意ある第三者の登録を早期に発見することができ、セキュリティを確保することができる。なお、ここでは登録通知情報とともに利用停止コードも表示されると説明したが、登録通知情報のみが表示されてもよい。
新たな登録について確認を行うと、薬剤師等は入力部83を操作して、適切な処理を指示する。例えば登録通知情報により示される新たな登録が、ユーザが許可していない不正な登録である場合、薬剤師等はその登録に関する情報の削除を指示する。
ステップS106において、要求処理部92は、薬剤師等の操作に応じて入力部83から供給された信号に基づいて、登録通知情報により通知された利用停止コードを削除するか否かを判定する。
ステップS106において削除しないと判定された場合、つまり登録通知情報により通知された新たな登録が、ユーザが許可した登録である場合、処理はステップS107へと進む。この場合、例えば薬剤師等は登録された人物、すなわち登録された携帯型端末装置の所有者を特定可能な、携帯型端末装置に関する情報を認識名情報として入力する。
ここで、認識名情報は、登録された携帯型端末装置の所有者の氏名や、ユーザとの続柄、電話番号等の一部や全部など、ユーザ自身がその人物(携帯型端末装置)を特定できる情報であれば、どのような情報であってもよい。この例では、例えば薬剤師等はユーザの指示に応じて、ユーザの配偶者の名前等を認識名情報として入力する。
すると、ステップS107においてデータ生成部94は、入力部83から供給された信号に基づいて認識名情報を生成する。
また、記録制御部93は、生成された認識名情報と、ステップS104で受信した利用停止コードとをリーダライタ81に供給し、ICカード13への記録を指示する。
ステップS108においてリーダライタ81は、記録制御部93から供給された認識名情報および利用停止コードを非接触通信によりICカード13に送信して、認識名情報と利用停止コードとを対応付けて記録させ、薬歴更新要求処理は終了する。ICカード13は、リーダライタ81から受信した認識名情報と利用停止コードとを対応付けて記録する。
これにより、以降においてユーザは、ICカード13に記録されている認識名情報に基づいて、各利用停止コードがどの携帯型端末装置を特定するものであるかを確実に把握することができる。
一方、ステップS106において、登録通知情報により通知された利用停止コードを削除すると判定された場合、ステップS109において、通信部82は個人識別ID、利用停止コード、および削除要求をデータセンタ11に送信する。
すなわち、要求処理部92は薬剤師等の操作に応じて、利用停止コードにより特定される携帯型端末装置の薬歴データへのアクセス権限の無効化を要求する削除要求を生成する。
また、要求処理部92は、ステップS101で取得した個人識別ID、ステップS104で受信した利用停止コード、および生成した削除要求を通信部82に供給し、データセンタ11への送信を指示する。すると、通信部82は、要求処理部92から供給された個人識別ID、利用停止コード、および削除要求を、通信網16を介してデータセンタ11に送信する。
データセンタ11では、削除要求に応じて利用停止コードが削除される。そして削除が完了すると、データセンタ11からは削除が完了した旨の情報が送信されてくる。例えば、削除が完了した旨の情報には、削除された利用停止コード、つまりアクセス権限を無効化した携帯型端末装置の利用停止コードも含まれている。
ステップS110において、通信部82は、データセンタ11から送信されてきた、削除が完了した旨の情報を受信して制御部85に供給する。表示制御部95は、通信部82から供給された情報を表示部84に供給して表示させ、薬歴更新要求処理は終了する。なお、利用停止コードにより特定される携帯型端末装置の薬歴データへのアクセス権限に関し、データセンタ11の記録部41に、あらかじめ閲覧可否フラグを利用停止コードに対応づけて記録し、その値を変更することによってアクセス権限の無効化を実現してもよい。例えば、携帯型端末装置のアクセス権限が有効の場合に閲覧可否フラグを「1」、無効の場合に閲覧可否フラグを「0」とし、この閲覧可否フラグが「1」の場合のみ、利用停止コードにより特定される携帯型端末装置の薬歴データへのアクセスを可能とする。
このようにサービスの利用を停止させた携帯型端末装置の利用停止コード等が表示部84に表示されると、ユーザ等は利用停止コード、つまり個人毎端末IDおよび個人設定端末コードが正しく削除されたことを確認することができる。
以上のようにして加盟店端末装置12は、薬歴データを更新するタイミングで、新たに登録された携帯型端末装置についての利用停止コードおよび登録通知情報を受信して表示させる。
これにより、ユーザに対して新たな携帯型端末装置の登録について確実に確認させることができ、悪意ある第三者の登録に対する保護機能を実現することができる。その結果、セキュリティを向上させることができる。また、このような登録通知情報の表示は、薬剤師等による不正な登録への抑止力としても期待され、ユーザも安心して情報公開を行うことができるようになる。
また、登録通知情報により通知された利用停止コードにより特定される携帯型端末装置が、ユーザの許可したものである場合には、利用停止コードと認識名情報とを対応付けてICカード13に記録させることで、利便性をさらに向上させることができる。すなわち、利用停止コードに対してユーザが記憶しやすい認識名情報を対応付けて記録させておくことで、ユーザは各利用停止コードが、誰が所有する携帯型端末装置のものであるかをさらに確実に特定することができる。これにより、携帯型端末装置の利用停止等の作業時に所望する携帯型端末装置をより簡単かつ確実に指定することができる。
続いて、図10のフローチャートを参照して、データセンタ11により行われる薬歴更新処理について説明する。この薬歴更新処理は、加盟店端末装置12から更新要求が送信されてくると開始される。
ステップS141において、通信部42は加盟店端末装置12から送信されてきた個人識別ID、薬歴データ、および更新要求を受信して制御部43に供給する。ステップS141では、図9のステップS103で送信された各情報が受信される。
ステップS142において管理部51は、通信部42から供給された更新要求に応じて薬歴データを更新する。
すなわち、管理部51は、通信部42から供給された薬歴データを更新部分のデータとして記録部41に供給し、その薬歴データが通信部42から供給された個人識別IDに対応付けられて記録部41に記録されている薬歴データに追加されるように記録部41を制御する。記録部41は、管理部51の制御に従って、管理部51から供給された薬歴データを記録することで薬歴データを更新する。
ステップS143において、管理部51は、まだユーザに対して登録の通知を行っていない利用停止コードを選択し、選択した利用停止コードと、その利用停止コードに対応付けられている機関情報および登録日時情報とを読み出す。
例えば記録部41は、各利用停止コードに対応付けて、登録の通知を行ったか否かを示すフラグを記録している。管理部51は、ステップS141の処理で受信された個人識別IDに基づいて、その個人識別IDに対応付けられている利用停止コードのうち、登録の通知を行っていないことを示す値のフラグが対応付けられている利用停止コードを選択し、利用停止コード、機関情報、および登録日時情報を読み出す。なお、登録の通知を行ったか否かは、1または複数の通知先によって分けて記録してもよいし、通知先によらず通知済みか否かを記録してもよい。
なお、ユーザに対して登録の通知を行っていない利用停止コードがない場合には、以降の処理は行われず、薬歴更新処理は終了する。
ステップS144において、管理部51は、読み出した機関情報および登録日時情報に基づいて登録通知情報を生成し、利用停止コードとともに通信部42に供給する。
例えば管理部51は、機関情報としての薬局IDに対応付けられている薬局名を示す情報をさらに記録部41から読み出して、登録日時情報と薬局名とが含まれる登録通知情報を生成する。
ステップS145において通信部42は、管理部51から供給された利用停止コードおよび登録通知情報を、通信網16等を介して加盟店端末装置12に送信する。これにより、図9のステップS104において利用停止コードと登録通知情報が受信される。
また、管理部51は、登録通知情報が送信されて登録の通知がなされると、通知を行った利用停止コードに対応付けられているフラグの値を変更し、登録の通知を行ったことを示す値とする。
ステップS146において、管理部51は、削除要求が送信されてきたか否かを判定する。
ステップS146において削除要求が送信されてこなかったと判定された場合、薬歴更新処理は終了する。
これに対して、ステップS146において削除要求が送信されてきたと判定された場合、ステップS147において、通信部42は加盟店端末装置12から送信されてきた個人識別ID、利用停止コード、および削除要求を受信して制御部43に供給する。ステップS147で受信される個人識別ID、利用停止コード、および削除要求は、図9のステップS109で送信されたものである。
ステップS148において、管理部51は、通信部42から供給された個人識別ID、利用停止コード、および削除要求に基づいて利用停止コードを削除する。
すなわち、管理部51は、削除要求に応じて、受信した個人識別IDに対応付けられている個人毎端末IDおよび個人設定端末コードのうち、受信した利用停止コードとされている個人毎端末IDおよび個人設定端末コードの削除を記録部41に指示する。記録部41は、管理部51の指示に応じて、記録している個人毎端末IDおよび個人設定端末コード、つまり利用停止コードを削除する。
このようにして加盟店端末装置12により指定された個人毎端末IDおよび個人設定端末コードが削除されると、その個人毎端末IDで特定される携帯型端末装置は、薬歴データにアクセスすることができなくなる。つまり、携帯型端末装置の薬歴データへのアクセス権限が無効化される。
管理部51は、利用停止コードが削除されると、削除が完了した旨の情報を通信部42に供給する。例えば、削除が完了した旨の情報には、サービスの利用を停止させた、つまりアクセス権限を無効化した携帯型端末装置の利用停止コードも含まれている。
ステップS149において、通信部42は管理部51から供給された、削除が完了した旨の情報を、通信網16を介して加盟店端末装置12に送信し、薬歴更新処理は終了する。
以上のようにしてデータセンタ11は、個人識別IDに対応付けられている薬歴データの更新を行った場合、ユーザに登録の通知を行っていない利用停止コードがあるときには、その利用停止コードについて登録通知情報を生成し、登録の通知を行う。このように新たな登録があるときには、ユーザに対して登録の通知を行うことで、薬歴データの不正な閲覧を防止し、セキュリティを向上させることができる。
〈個人設定端末コードおよび個人毎端末IDの削除について〉
また、ユーザはICカード13を利用して、登録済みの携帯型端末装置14や携帯型端末装置15による薬歴データの閲覧許可、つまり薬歴データへのアクセス権限を無効化させることができる。そのような場合、ユーザは、ICカード13を持って薬局に行き、所望の個人毎端末IDおよび個人設定端末コード、つまり利用停止コードを削除してもらう。
以下、図11を参照して、そのような場合に行われる加盟店端末装置12による削除要求処理、およびデータセンタ11による削除処理について説明する。
まず、ユーザが加盟店端末装置12のリーダライタ81にICカード13をかざすと、ステップS171において、加盟店端末装置12のリーダライタ81は、ICカード13と非接触通信を行い、ICカード13から個人識別ID、利用停止コード、および識別名情報を取得して制御部85に供給する。なお、利用停止コードと識別名情報は、互いに対応付けられた状態で取得される。
要求処理部92は、利用停止コードの一覧の送信を要求する送信要求を生成し、個人識別IDおよび送信要求を通信部82に供給する。
ステップS172において、通信部82は、要求処理部92から供給された個人識別IDと、利用停止コードの一覧の送信要求とを、通信網16を介してデータセンタ11に送信する。
すると、ステップS191において、データセンタ11の通信部42は、加盟店端末装置12から送信されてきた個人識別IDおよび送信要求を受信して制御部43に供給する。
ステップS192において、管理部51は送信要求に応じて、通信部42から供給された個人識別IDに対応付けられて記録されている利用停止コード、機関情報、および登録日時情報を記録部41から読み出す。
そして、管理部51は、読み出した利用停止コード、機関情報、および登録日時情報に基づいて利用停止コードの一覧を生成し、通信部42に供給する。この利用停止コードの一覧には利用停止コード、機関情報により特定される機関名、および登録日時情報が含まれている。例えば機関情報が薬局IDであるときには、管理部51は、機関情報により特定される機関名として薬局名を記録部41から読み出して、読み出した薬局名が含まれる利用停止コードの一覧を生成する。
ステップS193において、通信部42は、管理部51から供給された利用停止コードの一覧を、通信網16を介して加盟店端末装置12に送信する。
すると、ステップS173において、加盟店端末装置12の通信部82は、データセンタ11から送信されてきた利用停止コードの一覧を受信して制御部85に供給する。
ステップS174において、制御部85はステップS171で取得した認識名情報と、ステップS173で受信された利用停止コードの一覧とから、認識名一覧を生成する。
例えば認識名一覧は、利用停止コードに対応付けられた機関名、登録日時情報、および認識名情報が一覧表示された情報である。つまり、利用停止コードに対応付けられている機関名および登録日時情報に対して、その利用停止コードに対応付けられている、ステップS171で取得された認識名情報がさらに対応付けられて、各利用停止コードについての機関名、登録日時情報、および認識名情報の一覧が認識名一覧として生成される。
ステップS175において、表示制御部95は、認識名一覧を表示部84に供給し、表示させる。これにより、表示部84には、各利用停止コードに対応付けられた機関名、登録日時情報、および認識名情報の一覧(認識名一覧)が表示される。この認識名一覧には、利用停止コード自体は表示されない。なお、認識名一覧に利用停止コードが表示されるようにしてもよい。
このようにして認識名一覧が表示されると、ユーザは認識名一覧のなかから、認識名情報、登録日時情報、および機関名を手掛かりとして所望の認識名情報を指定する。このように認識名情報を指定することは、ユーザが所望の利用停止コードを選択することであるといえる。
ステップS176において、要求処理部92は、ユーザまたは薬剤師の操作に応じて入力部83から供給された信号に基づいて、利用停止コードを選択する。すなわち、要求処理部92は、ユーザ(薬剤師)により指定された認識名情報に対応する利用停止コードを、削除する利用停止コードとして選択する。
要求処理部92は、選択した利用停止コード、つまり個人設定端末コードおよび個人毎端末IDの削除要求を生成し、個人識別ID、利用停止コード、および削除要求を通信部82に供給する。この削除要求は利用停止コード、つまり個人毎端末IDにより特定される携帯型端末装置の薬歴データへのアクセス権限の無効化を要求するものである。
ステップS177において、通信部82は要求処理部92から供給された個人識別ID、利用停止コード、および削除要求を、通信網16を介してデータセンタ11に送信する。
すると、ステップS194においてデータセンタ11の通信部42は、加盟店端末装置12から送信されてきた個人識別ID、利用停止コード、および削除要求を受信して制御部43に供給する。
削除要求が受信されると、その後、ステップS195およびステップS196の処理が行われて削除処理は終了するが、これらの処理は図10のステップS148およびステップS149の処理と同様であるので、その説明は省略する。
ユーザにより指定された利用停止コード、つまり個人毎端末IDおよび個人設定端末コードが削除されると、以降においては、削除された個人毎端末IDで特定される携帯型端末装置は、薬歴データにアクセスすることができなくなる。すなわち、薬歴データへのアクセス権限が無効化される。
また、削除が完了した旨の情報が送信されると、ステップS178において、加盟店端末装置12の通信部82は、データセンタ11から送信されてきた、削除が完了した旨の情報を受信して制御部85に供給する。表示制御部95は、通信部82から供給された情報を表示部84に供給して表示させ、削除要求処理は終了する。
以上のようにして加盟店端末装置12は、認識名一覧を生成して表示させ、ユーザに利用停止コードを選択させ、利用停止コードをデータセンタ11に送信する。また、データセンタ11は加盟店端末装置12から受信した利用停止コードを削除する。
このように認識名一覧を表示させて利用停止コードを選択させることで、ユーザは登録日時情報や機関名、自分が入力した認識名情報などから簡単かつ確実に利用停止コードを選択することができ、利便性を向上させることができる。
特に、この場合、ユーザは個人情報が含まれない利用停止コードを必ずしも覚えておく必要がなく、自分が入力した覚えやすく、思い出しやすい情報に基づいて利用停止コードを選択することができる。
なお、ここでは、加盟店端末装置12がデータセンタ11から登録日時情報と機関名を含む利用停止コードの一覧を受信して認識名情報の一覧を生成し、その認識名情報の一覧から利用停止コードに対応する認識名情報を選択させると説明した。しかし、加盟店端末装置12がICカード13から読み出した利用停止コードおよび認識名情報を一覧表示させ、その一覧のなかから削除する利用停止コードが選択されるようにしてもよい。この場合、加盟店端末装置12は、データセンタ11から利用停止コードの一覧を受信する必要がなくなる。
〈第1の実施の形態の変形例1〉
〈認識名情報の記録について〉
なお、以上においては、ユーザにより指定(入力)された認識名情報が利用停止コードに対応付けられてICカード13に記録されると説明したが、認識名情報がデータセンタ11にも記録されるようにしてもよい。
そのような場合、データセンタ11の記録部41には、例えば図12に示すように個人識別IDに対応付けられて個人設定端末コード、個人毎端末ID、登録日時情報、機関情報、認識名情報、および薬歴データが記録される。
なお、個人識別IDには、1または複数の個人毎端末IDが対応付けられている。また、個人識別IDには、個人毎端末IDごとに個人設定端末コード、登録日時情報、機関情報、および認識名情報が対応付けられている。
このようにデータセンタ11にも認識名情報が記録される場合、図9に示した薬歴更新要求処理および図10に示した薬歴更新処理に対応する処理として、図13および図14に示す処理が行われる。
まず、図13のフローチャートを参照して、加盟店端末装置12による薬歴更新要求処理について説明する。なお、ステップS221乃至ステップS228の処理は、図9のステップS101乃至ステップS108の処理と同様であるので、その説明は省略する。
ステップS228において、ユーザのICカード13に利用停止コードおよび認識名情報が対応付けて記録されると、要求処理部92は個人識別ID、利用停止コード、および認識名情報を通信部82に供給する。
ステップS229において、通信部82は要求処理部92から供給された個人識別ID、利用停止コード、および認識名情報を、通信網16を介してデータセンタ11に送信するとともに認識名情報の記録を要求し、薬歴更新要求処理は終了する。
また、ステップS226において削除すると判定された場合、ステップS230およびステップS231の処理が行われて薬歴更新要求処理は終了するが、これらの処理は図9のステップS109およびステップS110の処理と同様であるので、その説明は省略する。
以上のようにして、加盟店端末装置12はICカード13に利用停止コードおよび認識名情報を記録させると、それらの利用停止コードおよび認識名情報と、個人識別IDとをデータセンタ11に送信して認識名情報を記録させる。
このようにデータセンタ11においても認識名情報を記録しておけば、各利用停止コードが、どの携帯型端末装置のものであるかを容易に特定することができ、利便性を向上させることができる。
続いて、図14のフローチャートを参照して、データセンタ11による薬歴更新処理について説明する。なお、ステップS261乃至ステップS269の処理は、図10のステップS141乃至ステップS149の処理と同様であるので、その説明は省略する。
また、ステップS266において、削除要求が送信されてこなかった、つまり図13のステップS229の処理により個人識別ID、利用停止コード、および認識名情報が送信されてきた場合、ステップS270の処理が行われる。
ステップS270において、通信部42は加盟店端末装置12から送信されてきた個人識別ID、利用停止コード、および認識名情報を受信して制御部43に供給する。
ステップS271において、管理部51は加盟店端末装置12の要求に応じて、通信部42から供給された認識名情報を記録部41に供給して記録させる。
すなわち、管理部51は、記録部41に記録されている利用停止コードのうち、通信部42から供給された個人識別IDおよび利用停止コードにより特定される利用停止コードに対応付けられて認識名情報が記録されるように記録部41を制御する。記録部41は、管理部51の制御に従って、管理部51により指定された利用停止コードに対応付けて認識名情報を記録する。認識名情報が記録されると、薬歴更新処理は終了する。
以上のようにしてデータセンタ11は、加盟店端末装置12から受信した認識名情報を個人識別IDおよび利用停止コードに対応付けて記録する。これにより、各利用停止コードがどの携帯型端末装置のものであるかをユーザが容易に特定することができるようになり、利便性を向上させることができる。
〈個人設定端末コードおよび個人毎端末IDの削除について〉
また、例えばデータセンタ11に認識名情報が記録されると、ユーザは薬局において簡単に所望の個人毎端末ID(利用停止コード)を削除させ、その個人毎端末IDにより特定される携帯型端末装置による薬歴データへのアクセス権限を無効化することができる。
以下、図15のフローチャートを参照して、加盟店端末装置12による削除要求処理、およびデータセンタ11による削除処理について説明する。
まず、ユーザは、ICカード13を持って薬局に行き、薬剤師等に所望の個人毎端末IDおよび個人設定端末コードを削除したい旨を伝え、ICカード13を加盟店端末装置12にかざす。
すると、ステップS301において、加盟店端末装置12のリーダライタ81は、ICカード13と非接触通信を行い、ICカード13から個人識別IDを取得して制御部85に供給する。このとき、必要に応じて個人情報も読み出され、本人確認が行われる。
要求処理部92は、利用停止コードの一覧の送信を要求する送信要求を生成し、個人識別IDおよび送信要求を通信部82に供給する。
ステップS302において、通信部82は、要求処理部92から供給された個人識別IDと、利用停止コードの一覧の送信要求とを、通信網16を介してデータセンタ11に送信する。
すると、ステップS311において、データセンタ11の通信部42は、加盟店端末装置12から送信されてきた個人識別IDおよび送信要求を受信して制御部43に供給する。
ステップS312において、管理部51は送信要求に応じて、通信部42から供給された個人識別IDに対応付けられて記録されている利用停止コード、機関情報、登録日時情報、および認識名情報を記録部41から読み出す。
そして、管理部51は、読み出した利用停止コード、機関情報、登録日時情報、および認識名情報に基づいて利用停止コードの一覧を生成し、通信部42に供給する。この利用停止コードの一覧には利用停止コード、機関情報により特定される機関名、登録日時情報、および認識名情報が含まれている。
ステップS313において、通信部42は、管理部51から供給された利用停止コードの一覧を、通信網16を介して加盟店端末装置12に送信する。
すると、ステップS303において、加盟店端末装置12の通信部82は、データセンタ11から送信されてきた利用停止コードの一覧を受信して制御部85に供給する。
ステップS304において、表示制御部95は、通信部82から供給された利用停止コードの一覧のうち、利用停止コードを除く部分を認識名一覧として表示部84に供給し、認識名一覧を表示させる。
したがって、表示部84に表示される認識名一覧には、利用停止コードに対応付けられた機関名、登録日時情報、および認識名情報が一覧表示されている。なお、認識名一覧に利用停止コードも表示されるようにしてもよい。つまり利用停止コードの一覧がそのまま表示されてもよい。
認識名一覧が表示されると、ユーザは認識名一覧のなかから、所望の認識名情報を指定する。ユーザにより認識名情報が選択されると、その後、ステップS305乃至ステップS307の処理が行われて削除要求処理は終了するが、これらの処理は図11のステップS176乃至ステップS178の処理と同様であるので、その説明は省略する。
また、加盟店端末装置12により利用停止時コードが選択され、個人識別ID、利用停止コード、および削除要求が送信されると、データセンタ11ではステップS314乃至ステップS316の処理が行われて削除処理は終了する。なお、これらのステップS314乃至ステップS316の処理は、図11のステップS194乃至ステップS196の処理と同様であるので、その説明は省略する。
以上のようにして、加盟店端末装置12は、ユーザによって選択された利用停止コードをデータセンタ11に送信する。また、データセンタ11は加盟店端末装置12から受信した利用停止コードを削除する。
このように認識名一覧を表示させて利用停止コードを選択させることで、簡単かつ確実に利用停止コードを選択することができ、利便性を向上させることができる。
〈第2の実施の形態〉
〈本人情報の記録について〉
また、以上においては、ユーザが携帯型端末装置14を利用しない場合も考慮して、薬局、つまり加盟店端末装置12を介して、ユーザに新たな登録の通知が行われる例について説明した。しかし、ユーザが携帯型端末装置14を利用する場合には、ユーザが所持する携帯型端末装置14に、直接、登録の通知が行われるようにしてもよい。
そのような場合、データセンタ11の記録部41には、例えば図16に示すように個人識別IDに対応付けられて個人設定端末コード、個人毎端末ID、本人情報、登録日時情報、機関情報、および薬歴データが記録される。
なお、個人識別IDには、1または複数の個人毎端末IDが対応付けられている。また、個人識別IDには、個人毎端末IDごとに個人設定端末コード、本人情報、登録日時情報、および機関情報が対応付けられている。
ここで、本人情報は、その本人情報が対応付けられている個人毎端末IDにより特定される携帯型端末装置が、ユーザ本人のものであるか否かを示す情報である。換言すれば、本人情報は、個人毎端末IDにより特定される携帯型端末装置が、新たな登録の通知などを行うべき携帯型端末装置であるか否かを示している。すなわち、例えば子供の薬歴情報について親等の確認者が管理するような場合は、ユーザ本人の携帯型端末装置ではなく、確認者の携帯型端末装置を新たな登録の通知などを行うべき携帯型端末装置であるとして登録してもよい。
具体的には、携帯型端末装置がユーザ本人や確認者のものである場合、本人情報は「1」とされ、携帯型端末装置がユーザ本人や確認者のものでない場合、本人情報は「0」とされる。なお、1つの個人識別IDに対応付けて複数の携帯型端末装置14を登録している場合には、1つの携帯型端末装置14のみ本人情報が「1」とされるようにしてもよいし、複数の携帯型端末装置14の本人情報が「1」とされるようにしてもよい。
このようにデータセンタ11に本人情報も記録される場合に、新たに配偶者の所有する携帯型端末装置15をデータセンタ11に登録し、携帯型端末装置15で薬歴データを閲覧することができるようにするときに行われる処理について説明する。なお、この場合、ユーザの所有する携帯型端末装置14については、既に個人識別IDに対応付けて、新たな登録の通知などを行うべき端末装置として、登録済みであるものとする。
配偶者が所持する携帯型端末装置15について仮登録を行う場合、例えばユーザおよび配偶者は加盟店端末装置12が設置されているサービス加盟店に行き、サービス加盟店の店員である薬剤師等に新規の登録をしたい旨を伝える。すると、薬剤師等はユーザが所持しているICカード13の提示を求める。そして、ユーザがICカード13を加盟店端末装置12のリーダライタ81にかざすと、図7を参照して説明した処理に対応する仮登録時の処理が行われる。
以下、図17のフローチャートを参照して、仮登録時に行われる、携帯型端末装置15による読み取り処理、加盟店端末装置12による仮登録要求処理、およびデータセンタ11による仮登録処理について説明する。
ステップS341において、加盟店端末装置12のリーダライタ81は、ICカード13と非接触通信を行い、ICカード13から個人識別IDおよび個人情報を取得して制御部85に供給する。
また、表示制御部95は、リーダライタ81から供給された個人識別IDと個人情報を必要に応じて表示部84に供給し、表示させる。薬剤師等は表示された個人情報等を利用して、適宜ユーザの本人確認を行う。
さらに、これから仮登録を行おうとする携帯型端末装置15が、新たな登録の通知などを行うべき端末装置であれば本人情報に「1」、そうでなければ本人情報に「0」を設定する。
ステップS342において、通信部82は、通信網16を介してデータセンタ11に個人識別ID、本人情報、薬局ID、および仮登録要求を送信する。
すなわち、要求処理部92は、薬剤師の操作に応じて入力部83から供給された信号から本人情報を生成する。また、要求処理部92は、加盟店端末装置12が設けられた薬局を特定するための薬局IDを記録部86から読み出すとともに、個人識別IDにより識別されるユーザについて、新たな携帯型端末装置15の仮登録を要求する仮登録要求を生成する。
そして、要求処理部92は、リーダライタ81から供給された個人識別ID、本人情報、記録部86から読み出した薬局ID、および仮登録要求を通信部82に供給し、送信を指示する。すると、通信部82は、要求処理部92から供給された個人識別ID、本人情報、薬局ID、および仮登録要求をデータセンタ11に送信する。
ステップS351において、データセンタ11の通信部42は、加盟店端末装置12から送信されてきた個人識別ID、本人情報、薬局ID、および仮登録要求を受信して制御部43に供給する。
ステップS352において、生成部52は、受信された個人識別IDに対する個人毎端末ID、機関情報、および登録日時情報を生成する。
ステップS353において、管理部51は記録部41に個人毎端末ID、本人情報、機関情報、および登録日時情報を供給し、記録させる。すなわち、管理部51は、記録部41に記録されている個人識別IDのうち、ステップS351で受信された個人識別IDに対応付けて個人毎端末ID、本人情報、機関情報、および登録日時情報を記録させる。
このようにして、個人識別IDに対して個人毎端末ID、本人情報、機関情報、および登録日時情報が対応付けられて記録されると、携帯型端末装置15の仮登録が完了する。
仮登録が完了すると、その後、ステップS354の処理が行われて個人毎端末IDが送信され、仮登録処理は終了するが、ステップS354の処理は図7のステップS24の処理と同様であるので、その説明は省略する。
また、個人毎端末IDが送信されると、加盟店端末装置12ではステップS343乃至ステップS345の処理が行われて仮登録要求処理は終了するが、これらの処理は図7のステップS13乃至ステップS15の処理と同様であるので、その説明は省略する。
さらに、加盟店端末装置12で仮登録要求処理が行われ、QRコードが表示されると、携帯型端末装置15により読み取り処理としてステップS361乃至ステップS363の処理が行われる。なお、これらのステップS361乃至ステップS363の処理は図7のステップS31乃至ステップS33の処理と同様であるので、その説明は省略する。
以上のようにして、データセンタ11では、加盟店端末装置12から仮登録要求とともに送信されてきた本人情報も個人毎端末IDに対応付けられて記録される。これにより、新たな登録の通知をすべき携帯型端末装置を特定することができ、セキュリティを確保しつつ利便性を向上させることができる。
〈登録の通知について〉
図17を参照して説明した処理により携帯型端末装置15の仮登録が行われると、配偶者は携帯型端末装置15を操作して、図8を参照して説明した登録要求処理と同様の処理を実行させ、本登録を行う。このとき、データセンタ11では、図8を参照して説明した登録処理と同様の処理が行われる。
また、データセンタ11は、携帯型端末装置15の本登録が完了した時点で、ユーザの携帯型端末装置14に対して新たな登録があった旨の通知を行う。
なお、上記携帯型端末装置14に対する通知は、本登録が完了した時点ではなく、仮登録が完了した時点や、仮登録や本登録の要求をデータセンタ11が受信した時点で行われてもよい。携帯型端末装置14にて通知が行われるタイミングは、通知を受信してすぐでも、上記処理が行われた後初めて携帯型端末装置14により電子お薬手帳のサービスのためのアプリケーションプログラムが起動されたとき、すなわちデータセンタ11へのアクセスがあったときとされてもよい。また、通知先および通知方法は、新たな登録があった旨の通知先として設定されたものへの通知であれば、携帯型端末装置14ではなく、電子お薬手帳のwebサイトのユーザ本人や確認者のアカウントへの通知など、どのような形をとってもよい。
以下、図18および図19を参照して、携帯型端末装置14がデータセンタ11からの通知を受ける通知受信処理、およびデータセンタ11が携帯型端末装置14に対して通知を行う通知処理について説明する。
まず、図18のフローチャートを参照して、携帯型端末装置14による通知受信処理について説明する。
ステップS391において、通信部111は、データセンタ11から送信されてきた利用停止コードおよび登録通知情報を受信して制御部114に供給する。なお、登録通知情報には、上述したように仮登録処理が行われた日時を示す登録日時情報と、機関情報により示される機関名(薬局名)とが含まれている。
ステップS392において、表示制御部124は、通信部111から供給された利用停止コードおよび登録通知情報を表示部116に供給して表示させる。なお、利用停止コードは表示されず、登録通知情報のみが表示されてもよい。
このようにして利用停止コードと登録通知情報が表示されると、ユーザは、新たに登録された人物、すなわち携帯型端末装置15がユーザ自身の知っているものであるか否かを確認し、必要に応じて入力部113を操作し、削除を指示する。
ステップS393において、制御部114は、ユーザの操作に応じて入力部113から供給された信号に基づいて、登録通知情報により通知された利用停止コードを削除するか否かを判定する。
ステップS393において削除しないと判定された場合、つまり登録通知情報により通知された新たな登録が、ユーザが許可した登録である場合、処理はステップS394へと進む。この場合、例えばユーザは登録された人物、すなわち登録された携帯型端末装置15の所有者を特定可能な情報を認識名情報として入力する。
ステップS394において制御部114は、入力部113から供給された信号に基づいて認識名情報を生成する。また、情報管理部122は、登録通知情報から機関名と登録日時情報を抽出する。
ステップS395において、情報管理部122はステップS391で受信した利用停止コード、登録通知情報から抽出された機関名と登録日時情報、および認識名情報を記録部115に供給し、それらの情報を対応付けて記録させる。記録部115は、情報管理部122の制御に従って利用停止コード、機関名、登録日時情報、および認識名情報を記録し、通知受信処理は終了する。
これに対して、ステップS393において削除すると判定された場合、ステップS396において、通信部111は個人識別ID、利用停止コード、および削除要求をデータセンタ11に送信する。
すなわち、制御部114は利用停止コードにより特定される携帯型端末装置15に関する情報の削除を要求する削除要求を生成するとともに、記録部115からユーザを特定する個人識別IDを読み出す。
さらに、制御部114は、個人識別ID、ステップS391で受信した利用停止コード、および生成した削除要求を通信部111に供給し、データセンタ11への送信を指示する。すると、通信部111は、制御部114から供給された個人識別ID、利用停止コード、および削除要求を、通信網16を介してデータセンタ11に送信する。
データセンタ11では、削除要求に応じて利用停止コードが削除される。そして削除が完了すると、データセンタ11からは削除が完了した旨の情報が送信されてくる。
ステップS397において、通信部111はデータセンタ11から送信されてきた、削除が完了した旨の情報を受信して制御部114に供給する。表示制御部124は、通信部111から供給された情報を表示部116に供給して表示させ、通知受信処理は終了する。
以上のようにして携帯型端末装置14は、新たに登録された携帯型端末装置についての利用停止コードおよび登録通知情報を受信して、利用停止コードおよび登録通知情報を表示させる。
これにより、ユーザに対して新たな携帯型端末装置の登録について確実に確認させることができ、セキュリティを確保することができる。また、利用停止コードにより特定される携帯型端末装置が、ユーザの許可したものである場合には利用停止コード、機関名、登録日時情報、および認識名情報を対応付けて記録させることで、利用停止コードの識別を容易にすることができ、利便性を向上させることができる。
続いて、図19のフローチャートを参照して、データセンタ11により行われる通知処理について説明する。この通知処理は、上述したように携帯型端末装置の本登録が完了したタイミング等で開始される。
ステップS421において、管理部51は、まだユーザに対して登録の通知を行っていない利用停止コードを選択し、選択した利用停止コードと、その利用停止コードに対応付けられている機関情報および登録日時情報とを記録部41から読み出す。
ステップS422において、管理部51は、読み出した機関情報および登録日時情報に基づいて登録通知情報を生成し、利用停止コードとともに通信部42に供給する。なお、この場合、利用停止コードと登録通知情報の送信先は、本人情報が「1」である個人毎端末IDにより特定される携帯型端末装置14とされる。
登録通知情報が生成されると、その後、ステップS423乃至ステップS427の処理が行われて通知処理は終了するが、これらの処理は図10のステップS145乃至ステップS149の処理と同様であるので、その説明は省略する。但し、この場合、利用停止コードおよび登録通知情報の送信先は携帯型端末装置14であり、削除要求の送信元も携帯型端末装置14となる。
以上のようにしてデータセンタ11は、新たな登録が行われると登録通知情報を生成し、登録の通知を行う。このように新たな登録があるときには、ユーザに対して登録の通知を行うことで、薬歴データの不正な閲覧を防止し、セキュリティおよび利便性を向上させることができる。
なお、ここでは利用停止コード、機関名、登録日時情報、および認識名情報が対応付けられて携帯型端末装置14に記録されると説明したが、これらの利用停止コード、機関名、登録日時情報、および認識名情報がICカード13にも記録されるようにしてもよい。
そのような場合、例えば利用停止コード、機関名、登録日時情報、および認識名情報がQRコードなどにより携帯型端末装置14から加盟店端末装置12に送信される。そして加盟店端末装置12から非接触通信等によりICカード13へと利用停止コード、機関名、登録日時情報、および認識名情報が送信されて記録される。また、非接触通信等により携帯型端末装置14が直接、利用停止コード、機関名、登録日時情報、および認識名情報をICカード13に記録してもよい。
〈個人設定端末コードおよび個人毎端末IDの削除について〉
ユーザの携帯型端末装置14に利用停止コードと、機関名、登録日時情報、および認識名情報とが対応付けられて記録されると、ユーザはそれらの情報から容易に所望の利用停止コード(個人毎端末ID)を選択し、薬歴データへのアクセス権限を無効化することができる。
以下、図20を参照してユーザが携帯型端末装置14を操作して、所望の携帯型端末装置の薬歴データへのアクセス権限を無効化するときに行われる処理について説明する。すなわち、図20のフローチャートを参照して、携帯型端末装置14による削除要求処理、およびデータセンタ11による削除処理について説明する。
ステップS451において、表示制御部124は、認識名情報の一覧を表示部116に表示させる。
例えば情報管理部122は、ユーザの操作に応じて記録部115に記録されている利用停止コードと、利用停止コードに対応付けられている機関名、登録日時情報、および認識名情報とを読み出す。このとき、記録部115に記録されている全ての利用停止コードが読み出される。
制御部114は、読み出した各利用停止コードの機関名、登録日時情報、および認識名情報を含む認識名情報の一覧を生成する。なお、認識名情報の一覧に利用停止コードが含まれていてもよい。
表示制御部124は、生成された認識名情報の一覧を表示部116に供給して表示させる。認識名情報の一覧が表示されると、ユーザは入力部113を操作して、認識名情報の一覧のなかから所望の認識名情報を選択する。
ユーザにより認識名情報が選択されると、ステップS452において制御部114は、入力部113から供給された信号に基づいて、ユーザにより選択された認識名情報に対応付けられている利用停止コードを、削除する利用停止コードとして選択する。
利用停止コードが選択されると、その後、ステップS453およびステップS454の処理が行われて削除要求処理は終了するが、これらの処理は図18のステップS396およびステップS397の処理と同様であるので、その説明は省略する。
また、携帯型端末装置14により利用停止時コードが選択され、個人識別ID、利用停止コード、および削除要求が送信されると、データセンタ11では削除処理としてステップS461乃至ステップS463の処理が行われる。なお、これらのステップS461乃至ステップS463の処理は、図19のステップS425乃至ステップS427の処理と同様であるので、その説明は省略する。
以上のようにして携帯型端末装置14は、利用停止コードに対応付けられて記録されている機関名、登録日時情報、および認識名情報に基づいて認識名情報の一覧を生成して表示させ、ユーザに所望の利用停止コードを選択させる。
このように機関名、登録日時情報、および認識名情報を手掛かりとして表示させることで、より簡単かつ確実にユーザに所望の利用停止コードを選択させることができ、利便性を向上させることができる。
〈第3の実施の形態〉
〈認識名情報の記録について〉
また、第1の実施の形態の変形例1では、データセンタ11に認識名情報を記録しておくと説明したが、さらにセキュリティを向上させるために認識名情報ではなく認識名情報のハッシュ値を記録しておくようにしてもよい。
そのような場合、データセンタ11の記録部41には、例えば図21に示すように個人識別IDに対応付けられて個人設定端末コード、個人毎端末ID、登録日時情報、機関情報、ハッシュ値、および薬歴データが記録される。
なお、個人識別IDには、1または複数の個人毎端末IDが対応付けられている。また、個人識別IDには、個人毎端末IDごとに個人設定端末コード、登録日時情報、機関情報、およびハッシュ値が対応付けられている。
このようにデータセンタ11にハッシュ値が記録される場合、図9に示した薬歴更新要求処理および図10に示した薬歴更新処理に対応する処理として、図22および図23に示す処理が行われる。なお、ここでは、第1の実施の形態と同様に、携帯型端末装置14は利用されないものとして説明を続ける。
まず、図22のフローチャートを参照して、加盟店端末装置12による薬歴更新要求処理について説明する。なお、ステップS501乃至ステップS508の処理は、図9のステップS101乃至ステップS108の処理と同様であるので、その説明は省略する。
ステップS508において、ユーザのICカード13に利用停止コードおよび認識名情報が対応付けられて記録されると、ステップS509において、データ生成部94は、認識名情報に対してハッシュ演算を行い、認識名情報のハッシュ値を算出する。
また、要求処理部92は個人識別ID、利用停止コード、およびハッシュ値を通信部82に供給する。ここで、通信部82に供給される利用停止コードは、ステップS508の処理で記録されたものである。
ステップS510において、通信部82は、要求処理部92から供給された個人識別ID、利用停止コード、およびハッシュ値を、通信網16を介してデータセンタ11に送信するとともにハッシュ値の記録を要求し、薬歴更新要求処理は終了する。
また、ステップS506において削除すると判定された場合、ステップS511およびステップS512の処理が行われて薬歴更新要求処理は終了するが、これらの処理は図9のステップS109およびステップS110の処理と同様であるので、その説明は省略する。
以上のようにして、加盟店端末装置12は、ICカード13に利用停止コードおよび認識名情報を記録させ、さらに認識名情報のハッシュ値を求め、個人識別ID、利用停止コード、およびハッシュ値をデータセンタ11に送信してハッシュ値を記録させる。
このようにデータセンタ11においてハッシュ値を記録しておけば、セキュリティを向上させつつハッシュ値を利用して各種のサービスを提供することができ、利便性も向上させることができる。
続いて、図23のフローチャートを参照して、データセンタ11による薬歴更新処理について説明する。なお、ステップS541乃至ステップS549の処理は、図10のステップS141乃至ステップS149の処理と同様であるので、その説明は省略する。
また、ステップS546において、削除要求が送信されてこなかった、つまり図22のステップS510の処理により個人識別ID、利用停止コード、およびハッシュ値が送信されてきた場合、ステップS550の処理が行われる。
ステップS550において、通信部42は、加盟店端末装置12から送信されてきた個人識別ID、利用停止コード、およびハッシュ値を受信して制御部43に供給する。
ステップS551において、管理部51は、通信部42から供給されたハッシュ値を記録部41に供給して記録させる。
すなわち、管理部51は、記録部41に記録されている利用停止コードのうち、通信部42から供給された個人識別IDおよび利用停止コードにより特定される利用停止コードに対応付けられてハッシュ値が記録されるように記録部41を制御する。記録部41は、管理部51の制御に従って、管理部51により指定された利用停止コードに対応付けてハッシュ値を記録する。ハッシュ値が記録されると、薬歴更新処理は終了する。
以上のようにしてデータセンタ11は、加盟店端末装置12から受信したハッシュ値を個人識別IDおよび利用停止コードに対応付けて記録する。これにより、セキュリティを向上させつつハッシュ値を利用したサービスを提供し、利便性を向上させることができる。
このようにデータセンタ11にハッシュ値が記録される場合でも、ユーザはICカード13を利用して、薬局において所望の利用停止コード(個人毎端末ID)を削除させることができる。そのような場合には、図11を参照して説明した削除要求処理および削除処理と同様の処理が行われる。
〈ICカードの再発行について〉
また、データセンタ11にハッシュ値を記録しておくことで、ユーザがICカード13を紛失してしまい、ICカード13を再発行してもらう場合に、これまでICカード13に記録されていた情報を新たなICカード13にも記録することが可能となる。これにより、ユーザや配偶者は携帯型端末装置を登録し直すことなく薬歴データを閲覧することができ、利便性を向上させることができる。
なお、この例では、薬局等のサービス加盟店では、サービス加盟店内のみでユーザを特定可能な薬局内個人識別番号が用いられている。
すなわち、加盟店端末装置12の記録部86には、ユーザごとにユーザの氏名と、そのユーザを特定する薬局内個人識別番号とが対応付けられて記録されている。また、例えば記録部86では、ユーザの氏名および薬局内個人識別番号に対応付けられて、処方箋や薬歴に関する情報などのユーザに関する情報が管理されている。
さらに、データセンタ11では、記録部41にサービス加盟店である薬局ごとに、その薬局を特定する薬局ID、個人識別ID、および薬局内個人識別番号が対応付けられて記録されている。したがって、データセンタ11では、薬局IDと薬局内個人識別番号とから、薬局IDにより特定される薬局内において、薬局内個人識別番号で管理されているユーザの個人識別IDを特定することが可能である。
以下、図24および図25を参照して、ユーザがICカード13の再発行を受ける場合に行われる処理について説明する。
まず、図24のフローチャートを参照して加盟店端末装置12による再発行処理について説明する。
ユーザは薬局に行き、担当の薬剤師等にICカード13等の再発行を依頼する。すると、薬剤師等はユーザに身分証等の提示を求めて本人確認した後、入力部83を操作してユーザの氏名に対応付けられている薬局内個人識別番号を特定する。
すなわち、要求処理部92は、入力部83からの信号に基づいて、記録部86からユーザの氏名に対応付けられて記録されている薬局内個人識別番号を読み出す。また、要求処理部92は、記録部86から薬局IDを読み出す。
すると、ステップS581において、通信部82は薬局IDおよび薬局内個人識別番号をデータセンタ11に送信する。
すなわち、要求処理部92は、読み出した薬局IDおよび薬局内個人識別番号を通信部82に供給し、データセンタ11への送信を指示する。通信部82は、要求処理部92から供給された薬局IDおよび薬局内個人識別番号を、通信網16を介してデータセンタ11に送信するとともに、利用停止コードの一覧の送信を要求する。
薬局IDおよび薬局内個人識別番号が送信されると、データセンタ11では、薬局IDおよび薬局内個人識別番号から個人識別IDが特定される。そして、その個人識別IDに対応付けられている利用停止コード、登録日時情報、および機関情報により示される機関名を含む利用停止コードの一覧が生成され、個人識別IDと利用停止コードの一覧が加盟店端末装置12に送信されてくる。
ステップS582において通信部82は、データセンタ11から送信されてきた個人識別IDおよび利用停止コードの一覧を受信して制御部85に供給する。
ステップS583において、表示制御部95は、通信部82から供給された利用停止コードの一覧のうち、利用停止コードを除いた部分、すなわち登録日時情報と機関名の部分を表示部84に供給し、一覧表示させる。なお、利用停止コードの一覧がそのまま表示されてもよい。
表示部84に登録日時情報と機関名が表示されると、ステップS584において、制御部85は、ユーザによる認識名情報の入力を受け付ける。
ユーザは、表示部84に表示された登録日時情報と機関名を手掛かりとして、それらの登録日時情報と機関名に対応付けられた利用停止コードに対して、以前にユーザが定めた認識名情報を思い出す。そして、ユーザ、またはユーザの指示を受けた薬剤師等は、入力部83を操作して、登録日時情報と機関名の組ごとに認識名情報を入力していく。
制御部85は、利用停止コードの一覧に含まれている各利用停止コードに対して、ユーザ等により入力された認識名情報を対応付けて保持する。
ステップS585において、データ生成部94は、入力部83から供給された各認識名情報に対してハッシュ演算を行い、認識名情報のハッシュ値を算出する。これにより、各利用停止コードに対応する認識名情報のハッシュ値が得られる。
要求処理部92は、個人識別ID、利用停止コード、およびハッシュ値を通信部82に供給し、データセンタ11への送信を指示する。このとき、利用停止コードとハッシュ値とが対応付けられた状態で通信部82に供給される。
ステップS586において、通信部82は、要求処理部92から供給された個人識別ID、利用停止コード、およびハッシュ値を、通信網16を介してデータセンタ11に送信するとともに、ハッシュ値の比較(照合)を要求する。
ハッシュ値を受信したデータセンタ11では、利用停止コードごとに、受信したハッシュ値と、記録部41に記録されているハッシュ値との比較が行われ、それらの比較結果が加盟店端末装置12に送信される。
ステップS587において、通信部82はデータセンタ11から送信されてきたハッシュ値の比較結果を受信して制御部85に供給する。また、表示制御部95は、必要に応じて、通信部82から供給されたハッシュ値の比較結果を表示部84に供給し、表示させる。
ステップS588において、制御部85は通信部82から供給されたハッシュ値の比較結果に基づいて、全ての利用停止コードについてハッシュ値が一致したか否かを判定する。
ステップS588において、全ての利用停止コードについてハッシュ値が一致したと判定された場合、処理はステップS596に進む。
これに対して、ステップS588において利用停止コードについてハッシュ値が一致しないものがあったと判定された場合、ステップS589において制御部85は、入力部83から供給された信号に基づいて、ハッシュ値が一致しなかった利用停止コードを削除するか否かを判定する。
例えばハッシュ値の比較結果が表示部84に表示されると、ユーザと薬剤師は表示された比較結果を確認する。このとき、ハッシュ値が一致しないものがあるときには、認識名情報を入力し直し、再度、上述したステップS584乃至ステップS587の処理が行われてもよい。
また、ハッシュ値が一致しない利用停止コードがある場合、ユーザはその利用停止コードを削除するか、またはその利用停止コードに対して認識名情報を付与し直すかを選択する。例えばユーザがハッシュ値が一致しない利用停止コードの削除を選択し、その選択に応じてユーザまたは薬剤師等が入力部83を操作すると、制御部85は入力部83からの信号に応じて、利用停止コードを削除すると判定する。
ステップS589において、利用停止コードを削除すると判定された場合、要求処理部92は、ハッシュ値が一致しない利用停止コード、つまり個人設定端末コードおよび個人毎端末IDの削除要求を生成する。そして、要求処理部92は個人識別ID、削除対象とする利用停止コード、および削除要求を通信部82に供給し、処理はステップS590へと進む。
ステップS590において、通信部82は、要求処理部92から供給された個人識別ID、利用停止コード、および削除要求を、通信網16を介してデータセンタ11に送信する。
削除要求が送信されるとデータセンタ11では、削除要求に応じて利用停止コード、つまり個人毎端末IDと個人設定端末コードが削除され、削除が完了した旨の情報が加盟店端末装置12に送信される。
ステップS591において、通信部82は、データセンタ11から送信されてきた削除が完了した旨の情報を受信して制御部85に供給する。表示制御部95は、通信部82から供給された削除が完了した旨の情報を表示部84に供給して表示させる。
削除が完了した旨の情報が表示されると、制御部85はステップS582の処理で受信し、保持している利用停止コードのうち、データセンタ11により削除された利用停止コードを削除して、処理はステップS596へと進む。
一方、ステップS589において、利用停止コードを削除しないと判定された場合、つまりハッシュ値が一致しない利用停止コードの認識名情報を新たに付与する場合、処理はステップS592に進む。
ステップS592において、制御部85は新たな認識名情報の入力を受け付ける。
ユーザ、またはユーザの指示を受けた薬剤師等は、入力部83を操作し、ハッシュ値が一致しなかった利用停止コードに対して新たな認識名情報を入力する。この場合、ユーザは登録日時情報および機関名などから、ハッシュ値が一致しなかった利用停止コードについて、その利用停止コードが割り当てられた配偶者等(携帯型端末装置)を特定することができるので、適切な認識名情報を付与することができる。
ステップS593において、データ生成部94は、入力部83から供給された認識名情報に対してハッシュ演算を行い、認識名情報のハッシュ値を算出する。
要求処理部92は、ハッシュ値の書き換えを要求する書き換え要求を生成するとともに、個人識別ID、ハッシュ値が一致しなかった利用停止コード、新たに入力された認識名情報のハッシュ値、および書き換え要求を通信部82に供給する。
ステップS594において、通信部82は、要求処理部92から供給された個人識別ID、利用停止コード、ハッシュ値、および書き換え要求を、通信網16を介してデータセンタ11に送信する。
すると、データセンタ11では、書き換え要求に応じてハッシュ値の書き換えが行われ、ハッシュ値の書き換えが完了した旨の情報が加盟店端末装置12に送信されてくる。
ステップS595において、通信部82は、データセンタ11から送信されてきたハッシュ値の書き換えが完了した旨の情報を受信して制御部85に供給する。表示制御部95は、通信部82から供給されたハッシュ値の書き換えが完了した旨の情報を表示部84に供給して表示させる。
ハッシュ値の書き換えが完了した旨の情報が表示されると、制御部85はステップS582の処理で受信し、保持している利用停止コードのうち、新たな認識名情報が付与された利用停止コードに、その新たな認識名情報を対応付け、処理はステップS596へと進む。
ステップS596において、記録制御部93は、リーダライタ81を制御して個人識別ID、個人情報、利用停止コード、および認識名情報を新たに発行されたICカード13に記録させる。すなわち、記録制御部93は、制御部85に対応付けられて保持されている利用停止コードおよび認識名情報と、個人識別IDおよび個人情報とをリーダライタ81に供給し、再発行されたICカード13への記録を指示する。なお、個人情報は、必要に応じて薬剤師等により入力される。
リーダライタ81は、記録制御部93から供給された個人識別ID、個人情報、利用停止コード、および認識名情報を非接触通信により再発行されたICカード13に送信して記録させ、再発行処理は終了する。このとき、ICカード13には、利用停止コードと認識名情報とが対応付けられて記録される。
以上のようにして加盟店端末装置12は、認識名情報のハッシュ値を利用して利用停止コードごとに認識名情報の照合を行わせ、利用停止コードと認識名情報とを対応付けて、再発行されたICカード13に記録させる。このようにハッシュ値を利用して照合を行うことで、セキュリティを確保しつつ再発行されたICカード13として、なるべくもとのICカード13に近いものを得ることができ、利便性を向上させることができる。
また、図24を参照して説明した再発行処理が行われ、ハッシュ値の比較が要求されると、データセンタ11では判定処理が行われる。以下、図25のフローチャートを参照して、データセンタ11による判定処理について説明する。
ステップS631において、通信部42は図24のステップS581の処理により加盟店端末装置12から送信されてきた薬局IDおよび薬局内個人識別番号を受信して制御部43に供給する。
すると、管理部51は、通信部42から供給された薬局IDおよび薬局内個人識別番号に基づいて、それらの薬局IDおよび薬局内個人識別番号に対応付けられて記録部41に記録されている個人識別IDを特定する。
ステップS632において、管理部51は特定された個人識別IDと、その個人識別IDに対応付けられている利用停止コード、登録日時情報、および機関情報とを記録部41から読み出し、利用停止コードの一覧を生成する。ここで、利用停止コードの一覧には利用停止コード、登録日時情報、および機関情報により示される機関名が含まれている。
管理部51は、個人識別IDと、生成した利用停止コードの一覧とを通信部42に供給し、加盟店端末装置12への送信を指示する。
ステップS633において、通信部42は管理部51から供給された個人識別IDおよび利用停止コードの一覧を、通信網16を介して加盟店端末装置12に送信する。
その後、加盟店端末装置12で認識名情報の入力が行われると、図24のステップS586の処理により加盟店端末装置12から個人識別ID、利用停止コード、およびハッシュ値が送信されてくる。
ステップS634において、通信部42は、加盟店端末装置12から送信されてきた個人識別ID、利用停止コード、およびハッシュ値を受信して制御部43に供給する。
ステップS635において制御部43は、通信部42から供給されたハッシュ値と、通信部42から供給された個人識別IDおよび利用停止コードに対応付けられて記録部41に記録されているハッシュ値とを比較し、その比較結果を通信部42に供給する。
ステップS636において、通信部42は制御部43から供給されたハッシュ値の比較結果を、通信網16を介して加盟店端末装置12に送信する。
ステップS637において、制御部43はステップS635でのハッシュ値の比較の結果、全ての利用停止コードについてハッシュ値が一致したか否かを判定する。
ステップS637において全ての利用停止コードについてハッシュ値が一致したと判定された場合、判定処理は終了する。
これに対して、ステップS637において利用停止コードについてハッシュ値が一致しないものがあったと判定された場合、ステップS638において、制御部43は利用停止コードを削除するか否かを判定する。例えば加盟店端末装置12から削除要求が送信されてきた場合、利用停止コードを削除すると判定される。
ステップS638において削除すると判定された場合、すなわち図24のステップS590の処理により加盟店端末装置12から削除要求が送信されてきた場合、処理はステップS639に進む。
ステップS639において、通信部42は加盟店端末装置12から送信されてきた個人識別ID、利用停止コード、および削除要求を受信して制御部43に供給する。
削除要求が受信されると、その後、ステップS640およびステップS641の処理が行われて判定処理は終了するが、これらの処理は図10のステップS148およびステップS149の処理と同様であるので、その説明は省略する。
これに対して、ステップS638において削除しないと判定された場合、図24のステップS594の処理により加盟店端末装置12から書き換え要求が送信されてくるので、処理はステップS642に進む。
ステップS642において、通信部42は、加盟店端末装置12から送信されてきた個人識別ID、利用停止コード、ハッシュ値、および書き換え要求を受信して制御部43に供給する。
ステップS643において、管理部51は、通信部42から供給された書き換え要求に応じてハッシュ値を書き換える。すなわち、管理部51は、通信部42から供給された個人識別IDおよび利用停止コードに対応付けられて記録部41に記録されているハッシュ値を、通信部42から供給されたハッシュ値に書き換える。
ハッシュ値の書き換えが完了すると、管理部51はハッシュ値の書き換えが完了した旨の情報を通信部42に供給し、加盟店端末装置12への送信を指示する。
ステップS644において通信部42は、管理部51から供給されたハッシュ値の書き換えが完了した旨の情報を、通信網16を介して加盟店端末装置12に送信し、判定処理は終了する。
以上のようにしてデータセンタ11は、加盟店端末装置12の要求に応じてハッシュ値の照合を行うとともに、要求に応じてハッシュ値を書き換えたり、利用停止コードを削除したりする。これにより、セキュリティを確保しつつ再発行されたICカード13の利用環境を、なるべくもとの環境に近いものとすることができ、利便性を向上させることができる。
なお、上述した第2の実施の形態においても第3の実施の形態において説明した処理と同様の処理を行うことで、携帯型端末装置14を紛失後、ユーザは新たな携帯型端末装置14に利用停止コードと、認識名情報とを記録させることが可能である。
そのような場合、携帯型端末装置14はデータセンタ11から利用停止コードの一覧を受信してユーザにより認識名情報の入力を受け、入力された認識名情報のハッシュ値を算出する。そして携帯型端末装置14は、算出したハッシュ値をデータセンタ11に送信し、ハッシュ値の判定結果を受信するとともに、その判定結果に応じて、利用停止コードと認識名情報とを対応付けて記録したり、利用停止コードの削除を要求したり、認識名情報を新たなものに変更したりする。
〈第3の実施の形態の変形例1〉
〈利用停止コードの一覧について〉
また、図25のステップS633では、利用停止コード、登録日時情報、および機関名が含まれる利用停止コードの一覧が生成されると説明したが、さらに機関名に対応付けて薬局等の機関の位置情報が含まれるようにしてもよい。
そのような場合、例えば仮登録時に仮登録要求とともに、その薬局の位置を示す位置情報もデータセンタ11に送信される。
具体的には、図7のステップS12では、個人識別ID、薬局ID、位置情報、および仮登録要求が加盟店端末装置12からデータセンタ11に送信される。また、ステップS23では、個人毎端末IDに対応付けられて、登録日時情報、機関情報、および位置情報が記録部41に記録される。ここで、位置情報は、例えば薬局のある緯度および経度を示す情報などとされる。
このように薬局の位置情報も記録される場合には、データセンタ11では、図25のステップS632において利用停止コード、登録日時情報、機関名、および位置情報が含まれる利用停止コードの一覧を生成する。
そして、加盟店端末装置12では、図24のステップS583において機関名に位置情報が対応付けられた、登録日時情報および機関名の一覧が表示される。このとき、ユーザ等が入力部83を操作して機関名を指定すると、制御部85は指定された機関名に対応付けられている位置情報に基づいて、例えば通信網16等を介して図示せぬサーバ等から位置情報により示される位置を含む地図データを取得する。そして、制御部85は、取得した地図データと位置情報とから、薬局の位置が指示された地図を生成し、表示制御部95は生成された地図を表示部84に供給して表示させる。
これによりユーザは薬局の位置を示す地図を確認し、その地図も手掛かりとして認識名情報を思い出すことができる。なお、位置情報から地図を生成して表示させる例に限らず、位置情報により特定される位置の住所等が表示されるようにしてもよいし、地図と住所とが表示されるようにしてもよい。
〈第4の実施の形態〉
〈仮登録について〉
ところで、図7を参照して行った仮登録時の処理では、加盟店端末装置12が仮登録要求処理を行うと説明したが、既にデータセンタ11に登録されている携帯型端末装置、例えば携帯型端末装置14により仮登録要求処理が行われるようにしてもよい。
以下、図26のフローチャートを参照して、そのような場合に仮登録時に行われる、携帯型端末装置15による読み取り処理、登録済みの携帯型端末装置14による仮登録要求処理、およびデータセンタ11による仮登録処理について説明する。
なお、この例では、携帯型端末装置14については、上述した読み取り処理および登録要求処理によって、携帯型端末装置14がデータセンタ11に登録されており、薬歴データの閲覧等が可能な状態となっているものとする。したがって、読み取り処理のステップS33の処理によって、携帯型端末装置14の記録部115には個人識別ID、個人毎端末ID、および個人情報が記録されている。
仮登録要求処理が開始されると、ステップS671において、通信部111は通信網16を介して、データセンタ11に個人識別ID、個人毎端末ID、および仮登録要求を送信する。
すなわち、携帯型端末装置14の制御部114は、記録部115から個人識別ID、個人毎端末ID、および個人情報を取得する。また、制御部114は、新たに携帯型端末装置15の仮登録を要求する仮登録要求を生成するとともに、生成した仮登録要求と、取得した個人識別IDおよび個人毎端末IDとを通信部111に供給し、送信を指示する。すると、通信部111は、制御部114から供給された個人識別ID、個人毎端末ID、および仮登録要求をデータセンタ11に送信する。
ステップS681において、データセンタ11の通信部42は、携帯型端末装置14から送信されてきた個人識別ID、個人毎端末ID、および仮登録要求を受信して制御部43に供給する。
ステップS682において、生成部52は、受信された個人識別IDに対する個人毎端末ID、機関情報、および登録日時情報を生成する。
すなわち、管理部51は、受信された仮登録要求に応じて生成部52に個人毎端末ID、機関情報、および登録日時情報の生成を指示する。生成部52は、その指示に従って新たな個人毎端末IDを生成する。
また、生成部52は、管理部51の指示に従って現在日時を示す情報を登録日時情報として生成するとともに、通信部42により受信された個人毎端末IDを機関情報とする。すなわち、この例では、加盟店端末装置12が仮登録要求処理を行うときに送信されていた薬局IDに代えて、個人毎端末IDが送信される。そのため、ステップS682では、個人毎端末IDが機関情報とされる。なお、機関情報とされる情報は、個人毎端末IDに限らず、携帯型端末装置14を識別可能な情報であれば、どのような情報であってもよい。
このようにして個人毎端末ID、機関情報、および登録日時情報が生成されると、その後、ステップS683およびステップS684の処理が行われて仮登録処理は終了するが、これらの処理は図7のステップS23およびステップS24の処理と同様であるので、その説明は省略する。
また、ステップS672において、携帯型端末装置14の通信部111は、データセンタ11から送信されてきた個人毎端末IDを受信して制御部114に供給する。
ステップS673において、制御部114は、ステップS672で受信された個人毎端末IDと、ステップS671で記録部115から読み出された個人識別IDおよび個人情報とに基づいてQRコードを生成し、表示部116に供給する。制御部114により生成されるQRコードには、情報として個人識別ID、個人毎端末ID、および個人情報が含まれている。
ステップS674において、表示部116は制御部114から供給されたQRコードを表示して、仮登録要求処理は終了する。すなわち、制御部114は、QRコードを表示部116に表示させることで、QRコードにより携帯型端末装置15との近距離通信を行い、QRコードに含まれている情報を携帯型端末装置15に送信する。このようなQRコードを表示部116に表示する処理は、QRコードにより示される個人識別ID、個人毎端末ID、および個人情報を表示部116に表示する処理であるともいうことができる。
このようにして表示部116にQRコードが表示されると、その後、ステップS691乃至ステップS693の処理が行われて、読み取り処理は終了するが、これらの処理は図7のステップS31乃至ステップS33の処理と同様であるので、その説明は省略する。
以上のようにして、携帯型端末装置14は、自身が記録している個人識別IDおよび個人情報を利用して、データセンタ11に携帯型端末装置15の仮登録を要求する。このように、登録済みの携帯型端末装置14を利用しても、他の携帯型端末装置の仮登録を行うことができるようにすることで、利便性を向上させることができる。
また、携帯型端末装置14が、ICカード13と非接触通信を行い、ICカード13から個人識別IDおよび個人情報を取得し、取得した個人識別IDを用いて、ステップS671の処理を行うようにしてもよい。
さらに、携帯型端末装置14が、個人識別IDをデータセンタ11に送信することで、データセンタ11にアクセスし、薬歴データの閲覧や、薬歴データの更新をデータセンタ11に要求した場合に、データセンタ11から利用停止コードと登録通知情報を受信するようにしてもよい。そのような場合には、携帯型端末装置14により、例えば図9に示した薬歴更新要求処理と同様の処理が行われる。
〈第5の実施の形態〉
〈薬歴の更新と登録の通知について〉
また、上述したように、データセンタ11の記録部41に、各利用停止コードに対応付けられて、薬歴データへのアクセス権限の有無を示す閲覧可否フラグが記録されている場合には、閲覧可否フラグを変更することでアクセス権限を無効化するようにしてもよい。例えば、アクセス権限が有効である、つまり薬歴データの閲覧権限がある場合には閲覧可否フラグの値は「1」とされ、アクセス権限が無効である場合には閲覧可否フラグの値は「0」とされるとする。
このように閲覧可否フラグによってアクセス権限が管理される場合、図27に示す薬歴更新要求処理および図28に示す薬歴更新処理が行われる。
以下、図27および図28のフローチャートを参照して、薬歴データの更新およびユーザへの登録についての通知に関する処理である薬歴更新要求処理と薬歴更新処理について説明する。
まず、図27のフローチャートを参照して、加盟店端末装置12による薬歴更新要求処理を説明する。なお、ステップS731乃至ステップS735の処理は、図9のステップS101乃至ステップS105の処理と同様であるので、その説明は省略する。
ステップS735において利用停止コードと登録通知情報が表示され、ユーザ等が新たな登録について確認を行うと、薬剤師等は入力部83を操作して、適切な処理を指示する。例えば登録通知情報により示される新たな登録が、ユーザが許可していない不正な登録である場合、薬剤師等はその登録に関して、アクセス権限の無効化を指示する。
ステップS736において、要求処理部92は、薬剤師等の操作に応じて入力部83から供給された信号に基づいて、登録通知情報により通知された利用停止コードについて、アクセス権限を無効化するか否かを判定する。
ステップS736において無効化しないと判定された場合、つまり登録通知情報により通知された新たな登録が、ユーザが許可した登録である場合、処理はステップS737へと進む。そして、その後、ステップS737およびステップS738の処理が行われて薬歴更新要求処理は終了するが、これらの処理は図9のステップS107およびステップS108の処理と同様であるので、その説明は省略する。
一方、ステップS736において、登録通知情報により通知された利用停止コードについて、アクセス権限を無効化すると判定された場合、ステップS739において、通信部82は個人識別ID、利用停止コード、および無効化要求をデータセンタ11に送信する。
すなわち、要求処理部92は薬剤師等の操作に応じて、利用停止コードにより特定される携帯型端末装置の薬歴データへのアクセス権限の無効化を要求する無効化要求を生成する。
また、要求処理部92は、ステップS731で取得した個人識別ID、ステップS734で受信した利用停止コード、および生成した無効化要求を通信部82に供給し、データセンタ11への送信を指示する。すると、通信部82は、要求処理部92から供給された個人識別ID、利用停止コード、および無効化要求を、通信網16を介してデータセンタ11に送信する。
データセンタ11では、無効化要求に応じてアクセス権限の無効化が行われる。そして無効化が完了すると、データセンタ11からは無効化が完了した旨の情報が送信されてくる。例えば、無効化が完了した旨の情報には、アクセス権限を無効化した携帯型端末装置の利用停止コードも含まれている。
ステップS740において、通信部82は、データセンタ11から送信されてきた、無効化が完了した旨の情報を受信して制御部85に供給する。表示制御部95は、通信部82から供給された情報を表示部84に供給して表示させ、薬歴更新要求処理は終了する。
以上のようにして加盟店端末装置12は、薬歴データを更新するタイミングで、新たに登録された携帯型端末装置についての利用停止コードおよび登録通知情報を受信して表示させる。
これにより、ユーザに対して新たな携帯型端末装置の登録について確実に確認させることができ、悪意ある第三者の登録に対する保護機能を実現することができる。その結果、セキュリティを向上させることができる。
続いて、図28のフローチャートを参照して、データセンタ11により行われる薬歴更新処理について説明する。なお、ステップS771乃至ステップS775の処理は、図10のステップS141乃至ステップS145の処理と同様であるので、その説明は省略する。
ステップS776において、管理部51は、無効化要求が送信されてきたか否かを判定する。
ステップS776において無効化要求が送信されてこなかったと判定された場合、薬歴更新処理は終了する。
これに対して、ステップS776において無効化要求が送信されてきたと判定された場合、ステップS777において、通信部42は加盟店端末装置12から送信されてきた個人識別ID、利用停止コード、および無効化要求を受信して制御部43に供給する。ステップS777で受信される個人識別ID、利用停止コード、および無効化要求は、図27のステップS739で送信されたものである。
ステップS778において、管理部51は、通信部42から供給された個人識別ID、利用停止コード、および無効化要求に基づいて、アクセス権限を無効化する。
すなわち、管理部51は、無効化要求に応じて記録部41を制御し、受信した個人識別IDに対応付けられている個人毎端末IDおよび個人設定端末コードのうち、受信した利用停止コードとされている個人毎端末IDおよび個人設定端末コードに対応付けられている閲覧可否フラグの値を「0」に変更させる。記録部41は、管理部51の指示に応じて閲覧可否フラグの値を「0」に書き換え、アクセス権限の無効化を行う。
管理部51は、アクセス権限が無効化されると、無効化が完了した旨の情報を通信部42に供給する。例えば、無効化が完了した旨の情報には、サービスの利用を停止させた、つまりアクセス権限を無効化した携帯型端末装置の利用停止コードも含まれている。
ステップS779において、通信部42は管理部51から供給された、無効化が完了した旨の情報を、通信網16を介して加盟店端末装置12に送信し、薬歴更新処理は終了する。
以上のようにしてデータセンタ11は、個人識別IDに対応付けられている薬歴データの更新を行った場合、ユーザに登録の通知を行っていない利用停止コードがあるときには、その利用停止コードについて登録通知情報を生成し、登録の通知を行う。このように新たな登録があるときには、ユーザに対して登録の通知を行うことで、薬歴データの不正な閲覧を防止し、セキュリティを向上させることができる。
さらに以上においては、電子お薬手帳における薬歴データの閲覧を例として説明したが、本技術は、各個人についての情報を閲覧する場合、つまり個人についての情報を特定の範囲にのみ公開する場合に適用することが可能である。特に、データセンタ11に対応するサーバに、ユーザの個人情報を保管せずに情報公開範囲の変更を管理する仕組みとして有用である。また、以上において説明したデータセンタ11の機能の一部または全部が、データセンタ11ではなく、携帯型端末装置の登録を行う登録端末装置である加盟店端末装置12等に設けられているようにしてもよい。
ところで、上述した一連の処理は、ハードウェアにより実行することもできるし、ソフトウェアにより実行することもできる。一連の処理をソフトウェアにより実行する場合には、そのソフトウェアを構成するプログラムが、コンピュータにインストールされる。ここで、コンピュータには、専用のハードウェアに組み込まれているコンピュータや、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のコンピュータなどが含まれる。
図29は、上述した一連の処理をプログラムにより実行するコンピュータのハードウェアの構成例を示すブロック図である。
コンピュータにおいて、CPU(Central Processing Unit)501,ROM(Read Only Memory)502,RAM(Random Access Memory)503は、バス504により相互に接続されている。
バス504には、さらに、入出力インターフェース505が接続されている。入出力インターフェース505には、入力部506、出力部507、記録部508、通信部509、及びドライブ510が接続されている。
入力部506は、キーボード、マウス、マイクロホン、撮像素子などよりなる。出力部507は、ディスプレイ、スピーカなどよりなる。記録部508は、ハードディスクや不揮発性のメモリなどよりなる。通信部509は、ネットワークインターフェースなどよりなる。ドライブ510は、磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリなどのリムーバブルメディア511を駆動する。
以上のように構成されるコンピュータでは、CPU501が、例えば、記録部508に記録されているプログラムを、入出力インターフェース505及びバス504を介して、RAM503にロードして実行することにより、上述した一連の処理が行われる。
コンピュータ(CPU501)が実行するプログラムは、例えば、パッケージメディア等としてのリムーバブルメディア511に記録して提供することができる。また、プログラムは、ローカルエリアネットワーク、インターネット、デジタル衛星放送といった、有線または無線の伝送媒体を介して提供することができる。
コンピュータでは、プログラムは、リムーバブルメディア511をドライブ510に装着することにより、入出力インターフェース505を介して、記録部508にインストールすることができる。また、プログラムは、有線または無線の伝送媒体を介して、通信部509で受信し、記録部508にインストールすることができる。その他、プログラムは、ROM502や記録部508に、あらかじめインストールしておくことができる。
なお、コンピュータが実行するプログラムは、本明細書で説明する順序に沿って時系列に処理が行われるプログラムであっても良いし、並列に、あるいは呼び出しが行われたとき等の必要なタイミングで処理が行われるプログラムであっても良い。
また、本技術の実施の形態は、上述した実施の形態に限定されるものではなく、本技術の要旨を逸脱しない範囲において種々の変更が可能である。
例えば、本技術は、1つの機能をネットワークを介して複数の装置で分担、共同して処理するクラウドコンピューティングの構成をとることができる。
また、上述のフローチャートで説明した各ステップは、1つの装置で実行する他、複数の装置で分担して実行することができる。
さらに、1つのステップに複数の処理が含まれる場合には、その1つのステップに含まれる複数の処理は、1つの装置で実行する他、複数の装置で分担して実行することができる。
また、本明細書中に記載された効果はあくまで例示であって限定されるものではなく、他の効果があってもよい。
さらに、本技術は、以下の構成とすることも可能である。
(1)
通信網を介して複数の登録端末装置及び複数の閲覧端末装置と接続される薬歴情報管理装置において、
情報を送信及び受信する通信部と、
個人識別情報に対応付けて、少なくとも薬歴情報と前記薬歴情報を閲覧可能な閲覧端末装置の端末識別情報とを記録する記録部と、
前記通信部と前記記録部とを制御する制御部と
を具備し、
前記制御部は、
前記通信部により、前記個人識別情報と、登録に関する情報と、前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として第一の閲覧端末装置を登録する要求とを、前記登録端末装置から受信した場合に、
前記第一の閲覧端末装置を識別する第一の端末識別情報を生成する処理と、
前記第一の端末識別情報と前記登録に関する情報とを前記個人識別情報に対応付けて前記記録部に記録する処理と、
前記登録端末装置に対して、前記第一の端末識別情報を含む、前記第一の閲覧端末装置が前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として登録された旨の応答情報を前記通信部により送信する処理と
を実行し、
前記通信部により、第二の閲覧端末装置から、前記薬歴情報を閲覧する要求を受信した場合に、前記第二の閲覧端末装置に対して、前記第二の閲覧端末装置が閲覧可能な閲覧端末装置として対応付けられている前記薬歴情報を前記通信部により送信する処理を実行する
薬歴情報管理装置。
(2)
前記登録に関する情報は、前記第一の閲覧端末装置の登録が行われた場所に関する情報として、前記登録端末装置を操作して登録の要求を行った場所に対応する識別情報を含む
(1)に記載の薬歴情報管理装置。
(3)
前記制御部は、前記登録の要求に応じて前記記録部に登録されている前記第一の閲覧端末装置について、前記第一の閲覧端末装置に関する情報の登録の要求を前記通信部により受信した場合に、前記個人識別情報に対応付けて記録されている前記第一の端末識別情報に対応付けて、前記受信した前記第一の閲覧端末装置に関する情報を前記記録部に記録する処理を実行する
(1)または(2)に記載の薬歴情報管理装置。
(4)
前記第一の閲覧端末装置に関する情報は、前記第一の閲覧端末装置の所有者を特定可能な情報を含む
(3)に記載の薬歴情報管理装置。
(5)
前記制御部は、
前記第二の閲覧端末装置を識別する第二の端末識別情報が前記個人識別情報に対応付けられ、前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置が新たに登録された場合に、前記第二の閲覧端末装置が新たに前記閲覧端末装置が登録された旨を通知する閲覧端末装置であることを示す情報が、前記記録部に記録されており、さらに前記第二の閲覧端末装置から、前記通信部に対してアクセスがあった場合に、
前記第二の閲覧端末装置に対して、前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として登録された前記閲覧端末装置の登録通知情報を前記通信部により送信する処理を実行する
(1)乃至(4)の何れか一項に記載の薬歴情報管理装置。
(6)
前記制御部は、
前記通信部により、前記個人識別情報と、前記登録に関する情報と、前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として前記第一の閲覧端末装置を登録する要求とが受信された場合に、さらに
登録日時情報を生成する処理と、
前記登録日時情報を前記個人識別情報に対応付けて前記記録部に記録する処理と
を実行する
(5)に記載の薬歴情報管理装置。
(7)
前記登録通知情報は、前記登録に関する情報と、前記登録日時情報とを含む
(6)に記載の薬歴情報管理装置。
(8)
前記制御部は、
前記登録端末装置から、前記個人識別情報に対応づけられた前記薬歴情報を更新する要求を受信した場合には、
前記個人識別情報に対応づけられた前記薬歴情報を更新する処理と、
前記登録端末装置に対して、前記第一の端末識別情報に対応付けて前記第一の閲覧端末装置が登録された旨の登録通知情報を前記通信部により送信する処理と
を実行する
(1)乃至(4)の何れか一項に記載の薬歴情報管理装置。
(9)
前記制御部は、さらに
前記登録通知情報を送信したか否かを示す情報を前記記録部に記録する処理を行い、
前記登録端末装置に対して前記登録通知情報を送信した場合、前記登録通知情報を送信したか否かを示す情報を更新する
(8)に記載の薬歴情報管理装置。
(10)
前記制御部は、前記通信部により、前記第一の閲覧端末装置の、前記個人識別情報に対応付けられた前記薬歴情報の閲覧権限を無効化する要求を受信した場合、前記第一の閲覧端末装置の前記薬歴情報の閲覧権限を無効化する処理を実行する
(1)に記載の薬歴情報管理装置。
(11)
前記制御部は、前記個人識別情報に対応付けられて記録されている前記第一の閲覧端末装置による閲覧可否を示す情報を変更することにより、前記第一の閲覧端末装置の前記薬歴情報の閲覧権限を無効化する処理を実行する
(10)に記載の薬歴情報管理装置。
(12)
前記制御部は、前記通信部により、前記個人識別情報に対応付けられた前記閲覧端末装置に関する情報の一覧を送信する要求を受信した場合、前記個人識別情報に対応付けられた前記閲覧端末装置に関する情報の一覧を前記通信部により送信する処理を実行する
(1)に記載の薬歴情報管理装置。
(13)
通信網を介して複数の登録端末装置及び複数の閲覧端末装置と接続される薬歴情報管理装置であって、
情報を送信及び受信する通信部と、
個人識別情報に対応付けて、少なくとも薬歴情報と前記薬歴情報を閲覧可能な閲覧端末装置の端末識別情報とを記録する記録部と、
前記通信部と前記記録部とを制御する制御部と
を具備する薬歴情報管理装置の薬歴情報管理方法において、
前記制御部が、
前記通信部により、前記個人識別情報と、登録に関する情報と、前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として第一の閲覧端末装置を登録する要求とを、前記登録端末装置から受信した場合に、
前記第一の閲覧端末装置を識別する前記端末識別情報を生成する処理と、
前記端末識別情報と前記登録に関する情報とを前記個人識別情報に対応付けて前記記録部に記録する処理と、
前記登録端末装置に対して、前記端末識別情報を含む、前記第一の閲覧端末装置が前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として登録された旨の応答情報を前記通信部により送信する処理と
を実行し、
前記通信部により、第二の閲覧端末装置から、前記薬歴情報を閲覧する要求を受信した場合に、前記第二の閲覧端末装置に対して、前記第二の閲覧端末装置が閲覧可能な閲覧端末装置として対応付けられている前記薬歴情報を前記通信部により送信する処理を実行する
ステップを含む薬歴情報管理方法。
(14)
通信網を介して複数の登録端末装置及び複数の閲覧端末装置と接続される薬歴情報管理装置であって、
情報を送信及び受信する通信部と、
個人識別情報に対応付けて、少なくとも薬歴情報と前記薬歴情報を閲覧可能な閲覧端末装置の端末識別情報とを記録する記録部と
を具備する薬歴情報管理装置を制御するコンピュータに、
前記通信部により、前記個人識別情報と、登録に関する情報と、前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として第一の閲覧端末装置を登録する要求とを、前記登録端末装置から受信した場合に、
前記第一の閲覧端末装置を識別する前記端末識別情報を生成する処理と、
前記端末識別情報と前記登録に関する情報とを前記個人識別情報に対応付けて前記記録部に記録する処理と、
前記登録端末装置に対して、前記端末識別情報を含む、前記第一の閲覧端末装置が前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として登録された旨の応答情報を前記通信部により送信する処理と
を実行し、
前記通信部により、第二の閲覧端末装置から、前記薬歴情報を閲覧する要求を受信した場合に、前記第二の閲覧端末装置に対して、前記第二の閲覧端末装置が閲覧可能な閲覧端末装置として対応付けられている前記薬歴情報を前記通信部により送信する処理を実行する
ステップを含む処理を実行させるプログラム。
(15)
通信網を介して薬歴情報管理装置に接続された登録端末装置において、
前記通信網を介して情報を送受信する通信部と、
前記通信部を制御する制御部と
を具備し、
前記制御部は、
前記薬歴情報管理装置に対して、第一の個人識別情報と、登録に関する情報と、前記第一の個人識別情報と対応付けられた薬歴情報を閲覧可能な閲覧端末装置として第一の閲覧端末装置を登録する要求とを前記通信部により送信する処理を実行し、
前記薬歴情報管理装置から、前記要求に応じて、端末識別情報を含む、前記第一の閲覧端末装置が前記第一の個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として登録された旨の応答情報を受信し、前記端末識別情報を表示する処理を実行する
登録端末装置。
(16)
前記制御部は、
前記薬歴情報管理装置に対して、第二の個人識別情報と、前記第二の個人識別情報と対応付けられた前記薬歴情報を閲覧又は更新する要求とを前記通信部により送信する処理を実行し、
前記閲覧又は更新の要求に応じて、前記薬歴情報管理装置から、前記第二の個人識別情報と対応付けられた第二の閲覧端末装置の登録通知情報を受信した場合に、
前記第二の閲覧端末装置の前記登録通知情報を表示する処理を実行し、
前記第二の閲覧端末装置に関する情報を、前記薬歴情報管理装置へ送信するか、または前記第二の個人識別情報の取得元へと記録させる処理を実行する
(15)に記載の登録端末装置。
(17)
通信網を介して薬歴情報管理装置に接続された登録端末装置であって、
前記通信網を介して情報を送受信する通信部と、
前記通信部を制御する制御部と
を具備する登録端末装置の登録方法であって、
前記制御部が、
前記薬歴情報管理装置に対して、個人識別情報と、登録に関する情報と、前記個人識別情報と対応付けられた薬歴情報を閲覧可能な閲覧端末装置として所定の閲覧端末装置を登録する要求とを前記通信部により送信する処理を実行し、
前記薬歴情報管理装置から、前記要求に応じて、端末識別情報を含む、前記所定の閲覧端末装置が前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として登録された旨の応答情報を受信し、前記端末識別情報を表示する処理を実行する
ステップを含む登録方法。
(18)
通信網を介して薬歴情報管理装置に接続され、前記通信網を介して情報を送受信する通信部を具備する登録端末装置を制御するコンピュータに、
前記薬歴情報管理装置に対して、個人識別情報と、登録に関する情報と、前記個人識別情報と対応付けられた薬歴情報を閲覧可能な閲覧端末装置として所定の閲覧端末装置を登録する要求とを前記通信部により送信する処理を実行し、
前記薬歴情報管理装置から、前記要求に応じて、端末識別情報を含む、前記所定の閲覧端末装置が前記個人識別情報に対応付けられた前記薬歴情報を閲覧可能な閲覧端末装置として登録された旨の応答情報を受信し、前記端末識別情報を表示する処理を実行する
ステップを含む処理を実行させるプログラム。